画像byウインドナギ
http://www3.nhk.or.jp/news/html/20150601/k10010099511000.html
不正アクセスで年金情報125万件が流出か
6月1日 17時32分
k10010099511_201506011846_201506011847.mp4
日本年金機構は、年金情報を管理しているシステムに外部から不正アクセスがあり、年金加入者の氏名や基礎年金番号など、少なくともおよそ125万件の個人情報が流出したとみられることを明らかにしました。
日本年金機構の水島理事長は記者会見し、「個人情報が流出したことを深くおわび申し上げる」と陳謝したうえで、年金の支給手続きなどの際の本人確認を徹底するなど、なりすまし対策に万全の対策を取る考えを示しました。
日本年金機構によりますと、先月8日から18日にかけて、複数の職員のコンピューター端末を通じて、年金情報を管理しているシステムに外部から不正アクセスがあり、少なくともおよそ125万件の個人情報が流出したとみられることが、先月28日に分かったということです。
このうち、「年金加入者の氏名と基礎年金番号の2つ」が漏れたのが、およそ3万1000件、「氏名と基礎年金番号、生年月日の3つ」が漏れたのが、およそ116万7000件、「氏名と基礎年金番号、生年月日、それに住所の4つ」が漏れたのが、およそ5万2000件で、合わせておよそ125万件となっています。
このうち、「年金加入者の氏名と基礎年金番号の2つ」が漏れたのが、およそ3万1000件、「氏名と基礎年金番号、生年月日の3つ」が漏れたのが、およそ116万7000件、「氏名と基礎年金番号、生年月日、それに住所の4つ」が漏れたのが、およそ5万2000件で、合わせておよそ125万件となっています。
日本年金機構は、さらなる情報の流出を防ぐため全国の年金事務所で、インターネットへの接続を遮断しました。また、日本年金機構では、いまのところ年金を支払うためのシステムへの外部からの不正アクセスは確認されていないとしています。
日本年金機構の水島理事長は、1日夕方、厚生労働省で記者会見し、「125万件の個人情報が流出したことを深くおわび申し上げる。誠に申し訳ございません」と陳謝しました。
そして水島理事長は、「職員が電子メールに添付されたウイルスの入ったファイルを開封したことにより不正アクセスが行われ、情報が流出したものとみられる。不正アクセスが発見された時点で、ウイルスに感染したパソコンを隔離し、契約しているウイルス対策ソフト会社に解析を依頼した。警察にも通報し捜査を依頼している」と述べました。
そのうえで水島理事長は、今後の対応について、「最も重要な問題は、本人のなりすましを防ぐことであり、万全の対応を取る。今回、対象となったお客様から、年金の手続きがあった際には、あすから本人であることを確認して処理する。該当するお客様の基礎年金番号も変更し、万全の対処を取る方針だ」と述べました。
流出から公表までの経緯
日本年金機構によりますと、ウイルスへの感染を確認したのは先月8日で、不正な通信が行われている記録が残っていたことから、職員のパソコンの感染を検知したということです。
その後、職員に注意を促すとともに、外部の会社にウイルス対策と調査を依頼しましたが、先月18日までの間に複数回にわたって依然として不正な通信が行われていることが分かり、翌日の19日になって警視庁に被害の相談をしたということです。
また、個人情報が流出したことについては、先月28日に警視庁からの情報提供で初めて分かったとしています。
また、流出した個人情報125万件のうち、70万件はパスワードが設定されていましたが、それ以外は設定されておらず、内規に違反した状態だった可能性があるということです。
その後、職員に注意を促すとともに、外部の会社にウイルス対策と調査を依頼しましたが、先月18日までの間に複数回にわたって依然として不正な通信が行われていることが分かり、翌日の19日になって警視庁に被害の相談をしたということです。
また、個人情報が流出したことについては、先月28日に警視庁からの情報提供で初めて分かったとしています。
また、流出した個人情報125万件のうち、70万件はパスワードが設定されていましたが、それ以外は設定されておらず、内規に違反した状態だった可能性があるということです。
塩崎厚生労働大臣「再発防止に全力」
塩崎厚生労働大臣は、記者会見で「日本年金機構への悪意を持った攻撃を防げなかったことは誠に遺憾だ。機構に対し、今回の事態を深刻に受けとめ、国民の年金を守ることを最優先にし、年金支払いに影響が出ないよう指示した。日本年金機構を監督する立場の厚生労働大臣としておわびする」と述べました。
そのうえで、塩崎大臣は「今後の情報管理の在り方について、第三者からなる検証委員会を早急に立ち上げ、再発防止に全力かつ可及的速やかに取り組みたい」と述べました。
そのうえで、塩崎大臣は「今後の情報管理の在り方について、第三者からなる検証委員会を早急に立ち上げ、再発防止に全力かつ可及的速やかに取り組みたい」と述べました。
府省庁の情報システムの点検を指示
政府は、年金情報を管理しているシステムに外部から不正アクセスがあり、およそ125万件の情報が流出したとみられることが分かったことを受けて、1日午後5時すぎ、各府省庁の担当者を集めた「サイバーセキュリティ対策推進会議」を急きょ総理大臣官邸で開きました。
この中で杉田官房副長官は、府省庁の情報システムの点検を実施するとともに、府省庁、独立行政法人、それに特殊法人などで、個人情報を含む重要情報の適正管理を徹底することなどを指示しました。
この中で杉田官房副長官は、府省庁の情報システムの点検を実施するとともに、府省庁、独立行政法人、それに特殊法人などで、個人情報を含む重要情報の適正管理を徹底することなどを指示しました。
専門家「過去にない被害レベル」
情報セキュリティに詳しい立命館大学の上原哲太郎教授は、今回の情報流出について「国の機関から国民の情報が流出した事案としては過去最大規模で、内容も、住民基本台帳で扱う住所や名前などの4情報より機密度が一段高いレベルのものが流出したとみるべきだ」と指摘しています。
上原教授は「年金事務所で作業のために一時的にシステムから引き出した情報を、作業の終了後も放置していたために起きたのではないか」と分析していて、こうした作業を行う端末がインターネットと接続できる環境にあったことも大きな問題だと指摘しています。
上原教授は、こうした被害を防ぐためには、個人情報を扱う端末とインターネットを接続する端末とを分けること、それに、一度取り出した情報は確実に消すことが重要だと話しています。そのうえで、日本に住む人すべてに12桁の番号を割りふるマイナンバー制度にも影響は避けられないとしていて「新たな制度では、マイナンバーにさまざまな情報をひもづけて管理するためそうした情報の取り扱いや対策を見直す必要が生じる可能性がある」と述べています。
上原教授は「年金事務所で作業のために一時的にシステムから引き出した情報を、作業の終了後も放置していたために起きたのではないか」と分析していて、こうした作業を行う端末がインターネットと接続できる環境にあったことも大きな問題だと指摘しています。
上原教授は、こうした被害を防ぐためには、個人情報を扱う端末とインターネットを接続する端末とを分けること、それに、一度取り出した情報は確実に消すことが重要だと話しています。そのうえで、日本に住む人すべてに12桁の番号を割りふるマイナンバー制度にも影響は避けられないとしていて「新たな制度では、マイナンバーにさまざまな情報をひもづけて管理するためそうした情報の取り扱いや対策を見直す必要が生じる可能性がある」と述べています。
特定の標的狙う攻撃が急増
政府機関や企業など、特定の標的を狙ってウイルスに感染するメールを送りつけて機密情報を盗み取ろうとするサイバー攻撃は「標的型メール」と呼ばれ、去年1年間で1700件確認され前の年の3倍以上に急増しています。
メールの内容としては、企業の健康保険組合から医療費の通知が届いたことを装ったり、防衛産業のメーカーや研究者に対して研究会や展示会の開催を知らせる内容になったりしていて、思わずメールを開いてしまう手口になっています。
警察庁は、政府機関や企業の情報をつかみ、周到に準備をしてメールを送りつけているとみて、攻撃を受けた企業などに対してウイルス対策のソフトを最新のものにするとともに知らない発信元からの添付ファイルは開かないよう注意を呼びかけています。
メールの内容としては、企業の健康保険組合から医療費の通知が届いたことを装ったり、防衛産業のメーカーや研究者に対して研究会や展示会の開催を知らせる内容になったりしていて、思わずメールを開いてしまう手口になっています。
警察庁は、政府機関や企業の情報をつかみ、周到に準備をしてメールを送りつけているとみて、攻撃を受けた企業などに対してウイルス対策のソフトを最新のものにするとともに知らない発信元からの添付ファイルは開かないよう注意を呼びかけています。
専門家「端末分けておくべき」
日本年金機構の年金情報を管理しているシステムに、外部から不正アクセスが行われ年金加入者の情報が流出したことについて、情報セキュリティー会社「ネットエージェント」の杉浦隆幸会長は、「今回の攻撃は『標的型メール攻撃』と呼ばれるもので、ウイルスが添付されたメールによって被害が起きる。メールを開かせるために客からの問い合わせを装うなど手口は巧妙で、防ぐことが非常に難しい。年金機構は、メールやインターネットで使う端末と、重要な個人情報を扱う端末は分けておくべきだった。今後は、きちんと用途別に端末を分けて、万が一、ウイルスに感染しても情報が流出しないような対策が必要だ」と話していました。
