パスワードを忘れた? アカウント作成
12101520 story
セキュリティ

日本年金機構からの情報漏洩、ウイルス入り添付ファイルを開いたのは一人だけではなかった 120

ストーリー by hylom
添付ファイルを開かない自信のある人は石を投げよ 部門より
あるAnonymous Coward 曰く、

先日明らかになった日本年金機構からの情報漏洩事件について、徐々にその情報が明らかになっている。

まず、日本年金機構にはたびたび攻撃が行われており、東京と福岡、少なくとも計2件のウイルス感染案件が確認されているという(日経新聞読売新聞)。それぞれ別の職員がウイルスを含む添付ファイルを開封し、感染していた模様。

また、添付ファイルではなく、メールに記載されたURLから不正サイトに誘導され、PCがウイルスに感染していたという話も出ている(日経新聞)。これが上記の2件に含まれているかは不明だ。

実際に職員に送られたという「不審なメール」についてだが、一例として差出人アドレスはヤフーのフリーメールで、セミナーへの参加を促すようなものが挙げられている(日本テレビ)。そのほかのフリーメールが送信元となっているものもあるようで、またウイルスを含む添付ファイルとしてLZH形式ファイルが使われていたものもあったようだ。

なお、職員のPCには最新のウイルス対策ソフトが入っていたが、「新種」のため検知できず感染が広がっていたという(毎日新聞)。しかし、メールに添付されたウイルスは昨年秋に国内の大手企業などに送りつけられたウイルスと同じ型という報道もあり(読売新聞)、なぜ防げなかったかは疑問が残る。

このウイルスは「クラウディオメガ(CloudyOmega」なる攻撃グループが使用していたものと同種とのこと。CloudyOmegaについてはSymantecの公式ブログで言及されているが、このグループによる攻撃は2011年から確認されているという。

いっぽう、日本年金機構側の管理体制の甘さも露呈している。毎日新聞によると、今回流出した情報はLAN内のファイル共有サーバーに格納されていたものだそうで、業務に必要なデータを社会保険オンラインシステムからCD-ROMなどで移していたものだそうだ。さらに、5月8日に外部との不審な通信が確認されていたものの、PCのネットワークからの切断と行った対応のみが行われており、その後別の職員が添付ファイルを開いて再度ウイルスに感染、最終的に数十台がウイルスに感染する事態になっていたという。

ルール上は個人情報をファイル共有サーバーに個人情報を格納することは原則として禁止されており、またもし個人情報を格納する際はパスワードを設定することを科していたという。しかし、今回漏洩した125万件のうち約55万件はパスワードが設定されていなかったそうだ(日経ITpro)。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2015年06月04日 19時20分 (#2825453)

    >もし個人情報を格納する際はパスワードを設定することを科していた
    パスワード暗号化の強度について規定していたのかが気になります。
    というのも、ExcelやMicrosoft Wordの2003以前の形式(xlsやdoc)のパスワード暗号化は、もの凄く弱いので (*1)。
    Office 2007以降はマトモですが、それでも短いパスワードだと危険です。
    また、zip圧縮も、新しいAES-256暗号化なら安心ですが、古いZip 2.0 (Legacy)はかなり弱いです。

    *1 Excel RC4 Encryption Algorithm
    http://auntitled.blogspot.jp/2010/12/excel-rc4-encryption-algorithm.html [blogspot.jp]
    > "salt", "verifier", and "verifierHash" can be extracted from FILEPASS record in Excel file.
    > Can you see it? The "real_key" is only 5 bytes (40 bits). If you can find this key, no need to use password.
    > The key space of real_key is 240. It is possible to do brute forcing.

  • この攻撃した人も簡単すぎてびっくりしただろうな。
    このデータ本物か?とか逆にトロイ送られた?とか実はこっちが標的?とか
    いろんなことが頭をよぎったことでしょう。

  • 怪しげなアドレスからのメールは開いちゃダメ
    とか
    怪しげな添付ファイルは開いちゃダメ
    とか
    個人情報の入ったファイルはパスワード付けて暗号化しておけ
    といった、運用ルールで縛ってセキュリティを維持する方法が限界に近いのでは?

    たかだかウイルスに感染したくらいでは重要情報は流出しえないようなネットワーク
    とサーバーやクライアントの構造にしなきゃいけないんじゃないの?
    たとえば、重要情報を扱えるのはVDIかリモデ環境だけで、ファイル転送もコピペも
    不可といったような仕組みにするとか(詳しい人お願いします)・・・
    ま、印刷やらDM送ったりやら課題は多そうだけどさ。
    ルールが面倒くさいとルール破りが横行するのは人の世の常だし。

    --
    **たこさん**・・・
  • 対象者の4割近い60人余りがメールを開いてリンクをクリックしてしまったということで、訓練を行ったIT推進課の大高利夫課長は「啓発を行っても、実際に送られてくるメールは実在したり、実在しそうな組織名や内容が記されて送られてくるので完全に防ぐのは困難だと実感した」と話しています。
    http://www3.nhk.or.jp/news/html/20150602/k10010100651000.html [nhk.or.jp]

    これ各会社でやったほうがいい。

  • by gtama (41856) on 2015年06月04日 18時17分 (#2825384)
    事務所所在地の地名かと思った
  • by Anonymous Coward on 2015年06月04日 18時27分 (#2825393)

    年金情報“流出” 不審メールの内容入手
    日本テレビ系(NNN) 6月3日(水)5時29分配信
    http://headlines.yahoo.co.jp/videonews/nnn?a=20150603-00000008-nnn-soci [yahoo.co.jp]
    この動画によると、添付ファイルの拡張子はlzh。

    UNLHA32.DLLの開発停止、作者がLHA書庫の使用中止を呼びかける
    http://security.srad.jp/story/10/06/07/0335205/ [security.srad.jp]

    • by Anonymous Coward on 2015年06月04日 18時39分 (#2825409)

      後は自己展開形式の圧縮ファイルも。

      今回とは関係ないが、自己展開形式のファイル暗号化ソフトって、
      セキュリティ高いどころかセキュリティホールだよね。

      親コメント
    • by Anonymous Coward

      LZH形式かどうか以前に、差出人がyahooメールなことを疑わないと。

      • webフィルタのようにメール送信元の危険度ランクを表示するシステムが欲しい。
        「この送信元ホスト(mhlw.go.jp)からのメールには性描写が含まれている場合があります。」

        まあ、企業・フリーメール・有償会員サイト・SPAMかの色分け程度でいいが。

        親コメント
    • by Anonymous Coward

      モノがどうかというより、
      送信元を知らないメールをなぜ開けるのか。

      セミナー参加にしても、そういうことは普段からメーリングリストなどで回すものだ。
      突然知らない人から来て、本物だとしても、見る必要はあるまいに。

      この人ら、メールでATMで金振り込めって書いてあったら振り込むんかい。

      • by Anonymous Coward on 2015年06月04日 19時14分 (#2825446)

        そういう話じゃないでしょうに。
        不特定多数からの問い合わせがあるところで、送信元が分からないメールがどれだけ来るとお考えなのでしょうか。

        メールのやりとりと、年金情報の管理を同じネットワークでやっていたことこそが問題なのではないかと。
        ヒューマンエラーはある程度起こりうる物として仕組みを設計しないと、何度でもこういう事故は起こると思いますよ。

        親コメント
        • by Anonymous Coward

          別系統に分けるだけの予算があるのかとかが問題になる悪寒…
          今回の漏洩の一番の原因の個人情報を共有フォルダに保存したことも、
          本来は禁止されていたことで、やむを得ない場合はパスワードをつけることなってたはずが、
          実際には守られていない。
          仕組みを作っても、お偉いさんの意識が変わらないと、また骨抜きになるのを繰り返しそうだ。

          • by Anonymous Coward

            だから、本来禁止されていたって言うのをできちゃうのがおかしいんですって。
            禁止っていうルールだけだと絶対に守られないのなんてわかりきっているのだから、
            実際にできなくする「仕組み」が必要。

            • by Anonymous Coward

              だから、その仕組みに抜け道を作らないようにするには、
              お偉いさんの意識改革が必要で、抜け道通らないと業務が回りません。で、
              スルーされたら意味がないと言ってるの。
              年金機構を無人の自動システムにでもしろと?それができれば確かに解決するけど。

            • by Anonymous Coward

              『実際にできなくする「仕組み」』などというものは、
              結局はその組織を運営する人間の意識を改革しない限り維持できない。
              教育なしに厳正なシステム維持など不可能。

              • 簡単だよ

                紙の書類で管理すればいい。

                親コメント
              • >「お偉いさん」なら法で強制されれば守るだろう。

                えっ?

                --

                ψアレゲな事を真面目にやることこそアレゲだと思う。
                親コメント
              • PCI DSS への準拠

                Payment Card Industry(PCI)データセキュリティ基準 バージョン3.0 [pcisecuritystandards.org] を見てみましたが、酷い内容でした。

                [PCI DSS 要件]
                  8.2.4
                    ユーザパスワード/パスフレーズは、少なくとも90日ごと変更する。
                  8.2.5
                    これまでに使用した最後の4 つのパスワード/パスフレーズのいずれかと同じである新しいパスワード/パスフレーズを許可しない。

                [テスト手順]
                  8.2.4.a
                    システムコンポーネントのサンプルについて、システム構成設定を調べて、少なくとも90日ごとにパスワードを変更することを要求するようにユーザパスワードのパラメータが設定されていることを確認する。
                  8.2.4.b
                    サービスプロバイダ用の追加手順。内部プロセスおよび顧客/ユーザ文書を調べて、以下を確認する。
                      * 非消費者ユーザパスワードを定期的に変更することが要求されている
                      * 消費者以外のユーザに、いつどのような状況下でパスワードを変更する必要があるかについてのガイダンスが与えられている

                  8.2.5.a
                    システムコンポーネントのサンプルで、システム構成設定を入手して調べ、新しいパスワードとして、これまでに使用した最後の4つのパスワードのいずれかと同じパスワードを指定できないことを要求するユーザパスワードパラメータが設定されていることを確認する。

                  8.2.5.b
                    サービスプロバイダ用の追加手順。内部プロセスと顧客/ユーザマニュアルを調べて、非消費者ユーザのパスワードがこれまでに使用した4つのパスワードのいずれかにすることはできなくなっていることを確認する。

                [ガイダンス]

                  長期間変更なしで有効なままになっているパスワード/パスフレーズは、悪意のある者がパスワード/パスフレーズを解読する行為により長い時間を与えることになります。

                  パスワード履歴が保持されていない場合、以前のパスワードが何度も再使用されることがあるため、パスワードを変更することの効果が低減します。一定期間ほどパスワードを再使用できないことを要求することで、推定されたか総当たり攻撃で見つけられたパスワードが今後使用される可能性が低減されます。

                 今時、パスワードを定期的に変更するメリットは殆どなく、害の方が大きい [tokumaru.org] のに、このセキュリティ基準はその事実を認められない頭の固い人が作っているようです。パスワード定期的変更推奨派の拙い論理は、既に、高木浩光さん、徳丸浩さんといった著名なセキュリティ専門家に完全に論破されています。

                 こんなふざけた基準を法律で義務化するのは、迷惑です。

                親コメント
              • 法律で
                ・セキュリティの最高責任者には「お偉いさん」を指定(日本年金機能の場合は理事長?)
                ・セキュリティの最高責任者はセキュリティ問題発生時に責任を負う

                とすれば良いと思う。
                親コメント
              • >個人情報保護法

                それはちょっとだけ違う(揚げ足取りになってゴメン)。民間が対象の法律。
                日本年金機構による情報取扱は
                独立行政法人等の保有する個人情報の保護に関する法律(平成十五年五月三十日法律第五十九号) [e-gov.go.jp]
                に縛られる。

                日本年金機構法 [nenkin.go.jp]
                の12条4 二を参照のこと:

                (業務に際しての個人情報(独立行政法人等の保有する個人情報の保護に関する法律 (平成十五年法律第五十九号)第二条第二項 に規定する個人情報その他厚生労働省令で定めるものをいう。第三十八条第一項において同じ。)

                親コメント
      • by Anonymous Coward on 2015年06月05日 0時25分 (#2825680)

        まじめで几帳面な人なら引っかからない、、と思っているのかもしれないが、
        官房秘書課の名をかたって
        「省外の方から貴殿の電話応対について苦情が届いています。詳細は別添の通り。」
        とやれば、かなり高い確率で引っかかる。
        勤務態度の悪い奴はこの手のメールをガン無視するから、逆に引っかからない。

        標的型メールの攻撃訓練を10回くらい受けてもこんなものだよ。
        職員が一万人もいれば、数十人引っかかるのが当たり前。
        むしろ一人も引っかからないようなメールなら、メール出した方が残念なくらい
        無能といえる。

        親コメント
    • by Anonymous Coward

      意味わかんないですね。dll使ってないソフトは安全ですが。また、LZHに対応したセキュリティソフトもありますけど?別にLZHそのものに脆弱性があるわけではないでしょう。

      • by Anonymous Coward

        ヘッダーを細工されたLZHアーカイブを検査できないセキュリティソフトが存在するのに、その情報を脆弱性として取り扱わずにスルーしたJVNの怠慢がこの問題の遠因かもしれない、という事でしょう。

        まだ、LZHアーカイブが年金機構のゲートウェイでどのような取り扱いをされたのか情報が無いのでなんとも言えませんが、もしもヘッダーが改ざんされていたことで検出できなかったとしたら…

  • by Anonymous Coward on 2015年06月04日 18時36分 (#2825403)

    って、ことですねか。

  • by Anonymous Coward on 2015年06月04日 18時58分 (#2825431)

    確かに仕方がない部分もあるが、それ以上に同じ運用系として信じられない部分が多い。
    ルールを守れない人は業務から外して、相応しい作業へ転換して欲しい。。

    • それが出来るのなら、日本年金機構を旧社会保険庁(杜撰な業務実態で社保庁自身の解体を促した張本人たち)ベースで作ることはなかったでしょう。
      当時、どうせコストを掛けてやるのなら、多少コストアップしたとしても綺麗に洗い替えした方がいいだろうと思ったものですが(一時的にせよ池の水を全部抜いたら魚が死んでしまう云々の反対意見もありましたが、本当に必要だったのは魚=旧社保庁職員の生活維持ではなく池の水瓶たる機能=年金制度そのものだったという事でしょう)、結局そうはできなかった。
      まぁ、想定内の出来事のような気がしますね。

      親コメント
    • by Anonymous Coward

      > ルールを守れない人は業務から外して、相応しい作業へ転換して欲しい。。
      確かにその通りではあるのだけども、ルールを守る人と、そのルールに従って作業する人というはだいたい
      別の人間で、えてして守っているとまともに作業できないルールになってしまいがちだからね。

      ただ、まあ今回の場合は、そもそもなんで外部とつなげる必要があるのかわからないけどね。
      年金機構の仕事の性格上、この手の情報を扱う人が外部につながる必要なんであまりないような気がする。

      • by Anonymous Coward

        「自分のデスクのPCで作業する方が効率がいい。でも、そのPCはインターネットに繋がっており、電子メールを受け取れる」ってだけでしょ。
        (デスク周りにはいろんな資料もあるだろうし、(正規の)業務メールなどからのコピペもできるし、色々便利だとは思う。)
        他にもマスターのDBにアクセスできるPCで作業してると他の人に迷惑ってのもあるかも。

  • by Anonymous Coward on 2015年06月04日 19時18分 (#2825449)

    あの時、長妻はかっこいいことばかり言ってた。
    看板はすげ替えた、しかし、中身の人間の体質が変わらなかったので、この有り様だ
    あの時、保険会社のシンジケートからなる民間組織にすれば責任を取らせられたのだ
    年金は結局何も解決していない
    公務員に金を任せて良いのだろうか

typodupeerror

長期的な見通しやビジョンはあえて持たないようにしてる -- Linus Torvalds

読み込み中...