記事の紹介です。
「ウィルスメール開封」だけじゃない、日本年金機構の絶句するほどザルなセキュリティ管理が次々と明らかに
2015年6月2日18:38
昨日発覚した日本年金機構の計125万件にも及ぶ大量情報流出事件。メールに添付されていたファイルを開封してウィルス感染という呆れるようなセキュリティレベルに日本中が呆然とさせられましたが、それだけに留まらない管理のザルっぷりが明らかになっています。
1日に公表されて日本中を震撼させた日本年金機構の計125万件も及ぶ年金加入者及び受給者の個人情報の漏洩事件。基礎年金番号、氏名、生年月日、住所などの重要な個人情報が外部に流出するというとんでもない事態となっていますが、原因はあまりにも平凡なミスでした。
◆ウィルスメールの添付ファイル開封
昨日公表されて日本中を震撼させたこの事件は5月8日に職員のパソコン宛にウィルスが添付されたメールが届き、そのファイルを職員が開封してしまったことに起因しています。事件の当初サイバー攻撃などと言われましたが、なんのことはない、10年前ですら当たり前に言われていた「怪しいメールの添付ファイルは開かない」という初歩中の初歩のセキュリティができていなかったというお粗末過ぎる原因でした。◆情報周知の不徹底
これに対して日本年金機構は感染したパソコン1台のみをネットから遮断、他は接続状態のままに。その結果18日までに10件以上の同様のメールが届き、少なくとも別の職員1人がファイルを開封して感染が拡大。そして19日になってようやく警視庁に相談するという後手っぷりです。◆55万件に内規違反でパスワード未設定
日本年金機構は個人情報を記録したファイルにパスワードを設定するように内規に定めていましたが、今回流出した125万件のうち55万件にはパスワードが設定されておらず、誰でも開ける状態で流出してしまっています。この内規の目的のひとつが情報流出時にも個人情報に容易にアクセスできないようにするためであることを考えると、日本年金機構内部のセキュリティ感覚が非常識と言わざるをえないレベルに低かったと断ずる他ありません。年金情報流出 内規違反 55万件にパスワード設定されず – 毎日新聞
◆システム運用上の問題
また、本件では日本年金機構のシステム運用の問題が指摘されています。それは「個人情報を基幹システムからLANに接続するサーバーに移すことができた」ことと、さらに「その移された個人情報がインターネットに接続されてメールを送受信する端末で閲覧できる状態だった」ということ。日本年金機構の情報漏洩は運用の問題である – WirelessWire News(ワイヤレスワイヤーニュース)
アンビリーバブルすぎる日本年金機構の個人情報流出
これは金庫で厳重に管理すべき貴重品を通りに面した軒先に箱にも入れずにずらりと並べておくようなもの。開いた口が塞がりません。
◆さらに「2ちゃんねる」への情報漏洩も
また、警視庁によって125万件の情報流出が発覚したとされる5月28日(公表された6月1日の4日前)の夜、2ちゃんねるの日本年金機構を話題としたスレッドに「ウイルス感染したので、共有ファイルは利用禁止となりました」「あれほど差出人不明メールは開封するな、と警告があったのに」などと、内部の人間しか知り得ない情報が書き込まれており、職員が業務情報を外部に漏洩させていた可能性もありそうです。
http://buzzap.jp/news/20150602-nenkin-disclosure/
記事の紹介終わりです。
■ Site Information ■
■ 2009年7月9日
「我が郷は足日木の垂水のほとり」 はじめました。
本稿はその保管用記事です。
■ 2010年3月2日
人気blogランキング(政治)にエントリーしました。