第372号コラム「サイバー攻撃“騒動”の中でふと感じたこと」
第372号コラム:西川 徹矢 理事(損害保険ジャパン日本興亜株式会社 顧問、笠原総合法律事務所 弁護士)
題:「サイバー攻撃“騒動”の中でふと感じたこと」
6月1日、日本年金機構から、125万人分の年金に関する個人情報が何者かによって奪われたとの報道が流れた。
この一報を聞いても、125万という数字に余り驚かなかった。2011年のソニーPSN情報漏洩事件の7700万件や、昨年7月のベネッセ社の2070万件(3000万件以上との説もある。)という数字に慣れたためか、仕事上直接関係はないが、常に視野に入っていた公的組織における事案であったにもかかわらずこのような第一印象しか持たなかった。
それでも、手口として、最近注目を浴びている標的型サイバー攻撃が用いられたこと、とりわけ攻撃対象をかなり絞り込んだうえ、メールの文面も工夫を凝らし、執拗かつ巧妙であったこと、また、漏洩した情報に基礎年金番号等の制度の根幹に関わるものがあり、マイナンバー制度が正に始動するタイミングでの発生であったことも目を引いた。
厚生労働省の所管する公的年金業務をめぐっては、かつて所管していた社会保険庁における制度運用や情報管理の杜撰さが社会的な問題となり、世論には懲罰的な印象を与えながら、2010年1月に、公的年金業務の適正な運営と国民の信頼確保を図るため、その業務の一部を引き継いで、厚生労働省の外局から、特殊法人として日本年金機構が創設されたところである。その任務の基盤を支える基幹システムとして構築されたのが社会保険オンラインシステムである。
これは国家行政の重要インフラと見なされるべきものであり、当然一般業務用メールやインターネット閲覧等とは截然と切り離されたものであり、情報系システムと直接的な接続は出来ないものであると考えていた。
したがって、なぜこのような事態が発生したのか当初はおよそ理解出来なかった。その後逐次報道されて、1ヶ月以上経って、明らかになった当機構内の実情やその漏洩経緯は余りにもお粗末なミスが重なり、到底信じられないものであった。やはり、「基本に忠実に」「初心忘れるべからず」という根幹的精神がなおざりにされたとしか言い様がないと思う。その後の国会審議において厳しく追及されたが、それもやむを得ないことであろう。
実は、この事件によって日本政府が蜂の巣を突いたような騒ぎになっている最中に、海外でも、6月4日に、米国大統領府等は、連邦政府職員の情報を管理する連邦人事管理局(OPM)が大規模なサイバー攻撃を受け、中国(中国政府とはまだ言っていない。)発のサイバー攻撃により少なくとも420万人に及ぶ職員達の社会保障番号(SSN)等の個人情報が危険にさらされたと発表した。その後7月9日には、連邦人事管理局が、流出情報の詳細は避けながらも、新たに政府機関の職員や契約業者ら計2150万人分の身元調査に関わる情報が漏洩していた(一部メディアはこの2件の重複を調整すると2210万人と報ず。)と公表した。そして国家安全保障局(NSA)が、6月4日、「インターネット・トラフィックの監視範囲を『令状なしで』拡大する」と発表し、連邦捜査局(FBI)も他の機関と協働していると公表した。
この事案は、中国という名が出たこと、420万人分のデータ、しかも社会保障番号も含む情報が漏洩したこと、またその数が遂に2150万人に及ぶものであること、連邦捜査局(FBI)等が乗り出すのはまだしも、国家安全保障局(NSA)までもが乗り出したことに興味が引かれた。詳細はまだ明らかになっていないが、いずれも膨大な個人の重要情報を扱う公的機関である。果たして連邦人事管理局がどのような経緯で漏れたのか、非常に興味のあるところである。日米の民主主義国としての行政機関との関わり方という微妙な温度差のある一面が覗けるのではないかと期待している。
なお、米国では、この他に6月8日に、米陸軍のホームページの改ざん事件が公表され、米陸軍は事案の発覚と同時に、同ホームページを一時的に閉鎖し、データ等の流出の有無を確認する措置を取ったが、米メディアによると、ハッカーは「シリア電子軍」を名乗り、米陸軍のホームページにメッセージを表示させたという(米陸軍は未公表)。
また、ドイツでは本年1月にメルケル首相の公式サイトが政府及び下院サイトともにブロックされ、親露派集団が犯行声明を出す事案が発生し、6月14日には、マスコミによると、5月にドイツ連邦議会のネットワークがサイバー攻撃を受け、15台のコンピュータがマルウエアに感染し、首相のコンピュータからもマルウエアの「トロイの木馬」が検出された。
米国の案件は、日本と比較にならないくらい大規模な予算やエネルギーを投入している陸軍が第一線の緊迫感を反映して、直ちに必要な措置を取っている点が注目される。また、ドイツの案件はEU外交をめぐる微妙な雰囲気が漂う中、引き続き伝統的な「トロイの木馬」が現役マルウエアとして重要な場面でまだ使われている点に目が行く。
偶然とはいえ、ここ数ヶ月の間に報じられた主要な事案を見るだけでもサイバー攻撃の脅威や被害は気が重くなる程である。しかし、我が国の事例では、パスワードの管理のイロハ等の情報業務管理の基本がエンドユーザや一部担当者に現場で遵守されていない実態があり、米国やドイツではかなり厳格に緊張が強いられる環境下にありながらもとてつもない事案が発生している。勿論これに敢然と立ち向かうべく、所管の官公庁やサイバーセキュリティを専門とする民間機関・企業では新進気鋭の数多の人材が原因と実情を可能な限り明らかにし、被害確認や被害拡大防止策、再発防止策等々を重ねて、文字通り、戦っている様子が目に浮かぶ。しかし、その一方で、単純なヒューマンエラーに悩まされ、その対策を技術分野に頼りすぎるイメージも透けて見えるようであり、そこにはその限界が暗示されているのではないかと思う。
技術論が声高に話され、その議論について行けないものは黙ってその決めるところに従えというのではなく、我が国で体現された交通死亡事故死者激減策の中で見られるように、モノや技術のみではなく、ヒトしかも広く一般人も対象にした情報社会を安全で安心して使える教育、ないしは国民的取り組みにかなりのエネルギーを注ぐべき時代が来つつあるのではないかと思う今日この頃です。
【著作権は、西川氏に属します】