日本年金機構で125万件の情報漏洩が発生
2015/6/1に日本年金機構から情報漏洩があったと発表がありました。なんと125万件ものデータが漏洩し、多くの人の情報が盗み出されたことがわかりました。ニュースなどではサイバー攻撃と報じられていますが、詳しく調べてみると運用上のミスのようです。
そもそも年金のデータが漏洩したきっかけは標準型メール攻撃と呼ばれる古来からある手法です。対象者にメールを送り、ウイルスが混入した添付ファイルを開かせるものです。今どきこんな簡単な攻撃に引っかかることに驚きを隠せません。
多少なりともセキュリティに意識を持っている人なら、知らないメールのリンクなんて踏みませんし、添付ファイルを開くなんてありえません。リテラシーというか教育がなっていないと言わざるを得ません。
防げないものだと考えた方がいい
ただ、みんながみんな標準型メール攻撃に対し、完璧な手段を持って対策できるとは限りません。おそらくどんなにしっかりとした運用をして、教育をしたとしても、リンクを踏んだり添付ファイルを開いてしまったりする人が現れるでしょう。
例えば、民主党の上原哲太郎氏は7年前にこんな標準型メールを受け取ったそうです。
怪しいメール開く方がアホだろ見たいな話が出回っているようなので、7年ほど前に私が受け取ったメールを晒しておきますね(一部隠してます)。これを「怪しい」って判断できる人は大したもんだと思います。今はもっと巧妙だし。 pic.twitter.com/SwKNkH4t9s
— 上原 哲太郎 (@tetsutalow) 2015, 6月 2
実際に存在する団体、メールアドレスに偽装され、ファイルもそれらしいもので、セキュリティソフトのスキャンにも引っかからない添付ファイルです。正直、これを怪しいと思える人は極僅かです。もしかしたら私も開いてしまうかもしれません。
ここまで巧妙な標準型メールが送られてきたら、大半の人が感染してしまうでしょう。今回の年金のデータ漏洩もこんなメールだったのかもしれません。となると、「感染する」「リンクを踏んでしまう」ことを前提に運営していくしかありません。
年金のデータは流出させてはならないものですから、ネットワークに繋ぐパソコンには絶対にコピーできないようにするとか、端末にはUSBメモリを接続できないようにするとか、ウイルスに感染したとしてもデータ漏洩しない仕組みが必要です。