「できる!」ビジネスマンの雑学
2017年03月06日
[363]標的型攻撃について学ぶ‐日本年金機構のケース‐
| インターネットが普及して以来、企業の情報システムがインターネットとリンクする事は当たり前となっています。 しかし、その利便性追求、高機能化とひきかえに企業の情報資産がいともたやすく盗み取られる事件が頻発しています。 2015年に発覚した日本年金機構の情報漏洩は、125万件もの年金加入者の個人データが盗み出されました。 当コラムでもこの問題をご紹介しています。 [064]日本年金機構による個人情報流出の問題点 (「できる!」ビジネスマンの雑学 2015年06月03日掲出) このたびこの事件の全容を詳細に解き明かした記事が、日経BP社のサイトで発表されました。 <まるわかり標的型攻撃> 事例2 日本年金機構のインシデント Part2 目的遂行型の攻撃 日本年金機構は2015年5月、年金加入者の個人情報約125万件を漏洩させた。LAN内のパソコンをウイルスに感染させて、目的のデータを持ち出すという典型的な攻撃だった。 ウイルス感染がきっかけとはいえ、どうして厳重に管理されていると思われる個人情報が漏洩したのか、攻撃の流れを見ながら理由を解説していく。また攻撃が発覚した後に情報が持ち出されているため、その動きも時系列で追っていこう。 (IT Pro Success 齊藤貴之=日経NETWORK 2017年1月26日掲出 ) 事件の詳細は本記事に譲るとして、不正アクセスの手口と日本年金機構の対応を時系列に沿って追っていく事で、さまざまな問題点が浮き彫りとなっています。 日本年金機構理事長は謝罪会見で「不審なメールは開けないよう指導していたのだが・・・」と話していましたが、実は情報漏洩につながったのは不審なメールを開いたことではなく、その後の対応のまずさでした。  そのことを証左するいくつかの問題点がシステム運用にありました。 ・ウイルス感染、不正アクセスの痕跡を発見したあとも、外部との接続を遮断しなかった事。 ・オープンな共有サーバー上に、パスワードをかけずに年金加入者の個人データを置き続けた事。 こうした緩慢な対策が大規模な漏洩へとつながったと、記事では解説しています。そして、この事件から教訓が導き出されています。 ●不正アクセスが最初に発覚したときの初動が、その後の被害拡大を左右する。 ●攻撃事例の早期開示が他企業への被害拡大を防ぐ。 この記事は連載となっており、記憶に新しい事件を数多く取り上げて、その原因と対策、今後の課題などを提案しています。 いずれの企業にとっても情報システムの漏洩対策は、緊急の課題となっています。これからのシステム構築には大変に参考となる記事といえるでしょう。(水) ‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐ ■関連リンク 「まるわかり標的型攻撃 最新インシデント徹底解剖」 (IT Pro Success 齊藤貴之=日経NETWORK) --------------------- 「できる!」ビジネスマンの雑学 ジャンル別 --------------------- 〇ニュースを読む 〇出来事 〇本・雑誌 〇IT関連 〇旅 〇食と料理 〇教育 |