産経ニュース for mobile

【衝撃事件の核心】「犯人は中国語圏」…年金機構サイバーテロ 隠蔽工作から漏れたわずかな痕跡

記事詳細

「犯人は中国語圏」…年金機構サイバーテロ 隠蔽工作から漏れたわずかな痕跡

衝撃事件の核心更新

 日本年金機構がサイバー攻撃を受け、内部の年金個人情報約125万件が流出した事件の発覚から1年が過ぎた。インターネット上で横行する「サイバーテロ」への危機感が高まる中で発生した最悪規模の情報流出事件では、警視庁公安部が攻撃者の特定や経緯の全容解明を急いでいる。巧妙な偽装工作などによる困難な捜査の中で、攻撃者の残した“痕跡”から、執拗かつ巧妙な手口で情報が盗み出された実態も明らかになりつつある。

<< 下に続く >>

被害は125万件… 拡大した流出、対策の甘さも露呈

 「年金に関する個人情報計125万件が外部に流出した」

 事件が発覚したのは昨年6月1日。公的年金の保険料徴収や給付実務を担う日本年金機構が、情報を盗み取るためのウイルスが仕込まれた「標的型メール」攻撃を発端に不正アクセスを受け、大量の情報が流出したと発表した。

 確認された流出情報は、基礎年金番号、氏名、生年月日、そして住所。すべての項目が流出したケースも5万件超あった。

 機構側によると、昨年5月8日、職員が受信したメールに添付されたファイルを開封した。ファイルにはウイルスが仕組まれており、端末が感染して不正アクセスが始まった。

 最初に開封した職員とは別の複数の職員も、同様のメールを相次いで開封した。それに前後して、情報系システムなどに保存されていた個人情報が流出したとみられた。

 「被害が拡大した要因は複数ある」と話すのは捜査関係者。

 ネット環境と接続している端末と、内部の重要なサーバーが隔離されていなかったことや、流出した個人情報約125万件のうち50万件超では機構の内規に定められたパスワードが設定されていなかったことが指摘されている。

不正アクセスを匿名化、偽装や情報削除の形跡も…

 事態が発覚すると、捜査関係者らはこう指摘した。「『足跡』をどれだけたどれるかが捜査のカギになる」。

 足跡とは攻撃者が機構の端末に不正アクセスした経路や、情報を抜き取った作業の痕跡などを指す。ただ、捜査幹部は「サイバー攻撃では偽装が常套手段。攻撃者の特定は容易ではない」とみていた。

 実際に、公安部の捜査でも、攻撃者による偽装工作が確認されている。攻撃の際、複数のサーバーを経由したり、通信自体を匿名化させる手法を使ったりしており、発信元の特定を防ごうとしていた。

 攻撃の詳細な実態も見えてきた。攻撃者は当初、機構が公開していたメールアドレスにウイルスメールを送信。機構側の端末を感染させると、外部から不正な通信を始めた。

 この過程で、本来は公開されていない機構側のメールアドレスも入手したとみられ、次々とウイルスメールを送り付けるなど、攻撃を加速させていったことが分かった。

 2週間あまりの間に、感染は31台ものパソコンに拡大した。これらは国内と海外に設置された計23台のサーバーと不審な通信を行ったとみられる。警視庁は情報を解析しているが、通信記録やデータを削除した痕跡があり、難しい捜査を強いられている。

同一グループが「波状攻撃」? 中国語圏の人物が関与か

 警察庁のまとめでは、ウイルスを仕掛けた標的型メールや、不正アクセスなどのサイバー攻撃によって平成27年の1年間に、日本年金機構など少なくとも27組織で情報流出の被害を確認した。前年比で22件増え、確認できる25年以降最も多かった。

 複数のネットセキュリティー関係者によると、日本を標的にした同様の攻撃はここ数年で激増している。手口やウイルスの類似性から、同一グループが波状的に攻撃している疑いがある。日本年金機構への攻撃をめぐっては、送り付けられたメールの文体(フォント)から、中国語圏の人物が関与した可能性も浮上している。

 攻撃者は業務などを装う表題のウイルスメールを送信。受信者が開封するよう誘い、端末を感染させており、手口は「過去にもあった典型的なサイバー攻撃」(セキュリティー関係者)だ。機構側も早期に攻撃を把握しながら、流出を防ぐことはできなかった。

  • 1
  • 2