年金管理システムサイバー攻撃問題

年金管理システムサイバー攻撃問題

日本年金機構の年金情報管理システムがサイバー攻撃を受け、大量の個人情報が流出した事件が発生しました。これは、日本において初めて確認された大規模な情報流出事件であり、社会的にも大きな波紋を呼んでいます。

流出の経緯

2015年5月8日、年金機構は外部からの不正アクセスの疑いを認識しました。コンピュータウイルス対策ソフト会社に解析を依頼しましたが、不正アクセスが再確認され、5月19日に警視庁へ捜査依頼を行いました。そして、5月28日に警視庁から流出の事実が通報されました。

今回のサイバー攻撃の原因は、職員が開封した不審なメールにあったウイルスによるものでした。このメールは、2015年5月8日から5月18日の間に何度も受信され、少なくとも2名の職員がその添付ファイルを開けています。一人目は福岡市の九州ブロック本部の職員で、二人目は日本年金機構本部の職員であり、その間の対応には大きな誤りがあったことが後に指摘されました。特に、具体的な注意喚起がなされず、メールの内容についての詳細が示されていなかったことが、職員の不注意を引き起こし、ウイルスの感染拡大を招く要因となりました。

内閣サイバーセキュリティセンターが5月8日に日本年金機構に不正アクセスの疑いを指摘したものの、機構側は感染端末の隔離を行った後、事象は収束したと判断してしまいました。このような初動の遅れが、流出の被害を拡大させる一因となりました。

流出した個人情報

日本年金機構の発表によると、約125万件の個人情報が流出しました。その内訳は、「年金加入者の氏名と基礎年金番号」が約3万1000件、「氏名、基礎年金番号、生年月日」が約116万7000件、「氏名、基礎年金番号、生年月日、住所」が約5万2000件です。この中で約70万件にはパスワードが設定されていましたが、残りは設定されていなかったため、機構の内部規則にも反する結果となりました。

攻撃の手口

日本年金機構の理事長は、職員が電子メールに添付されたウイルスを開いたことが流出の原因であると明言しています。また、職員がウイルスが仕込まれたリンクをクリックし、ファイルをダウンロードしたことも可能性として挙げられています。不正なメール内容の詳細が確認され、ウイルスは「EMDIVI」という種類のものであると考えられています。

対応

問題発覚以降、日本年金機構は専用の電話窓口を設置しました。この窓口には、最初の数日間で12万件以上の問い合わせが寄せられるという異常な事態が発生しました。警視庁への通報と捜査依頼も行い、その後関係者による調査委員会を設けて再発防止策を検討しています。職員に対するパスワード管理の徹底や、外部からの通信に対する警戒強化が急務となっています。

この事件は、公共機関の情報セキュリティの重要性を再認識させるものであり、今後の動向が注目されます。

もう一度検索