年金流出事件がアンビリーバブルすぎる！発表前に２ちゃんに感染リークも

2015/06/03

日本年金機構が125万件の個人情報を流出させた問題で、同機構の管理のずさんさが明らかになってきた。

個人情報の一部にパスワードが設定されていなかったり、ウイルス感染の発覚後もパソコンの外部接続の遮断が遅れたりしていた。

また、発表前にもかかわらず職員が2ちゃんねるに「ウイルス感染しました」と書き込みをしていたことも明らかになり、同機構の認識の甘さが浮き彫りになった。

日本年金機構の発表によると、流出した個人情報は約125万件。この数字は現時点のもので、今後さらに増える可能性がある。

年金記録を管理する社会保険オンラインシステムへの不正アクセスは確認されていないが、こちらもあくまで現時点でのことだ。

同機構によると、ウイルスメールによる感染が最初に確認されたのは2015年5月8日。職員の1人が、件名に「厚生年金基金制度の見直し（試案）」などと書かれ、業務に関連することを装ったメールの添付ファイルを開いたため、ウイルスに感染した。

職員が使用していたパソコンは、個人情報を管理するサーバーに接続しているものだったため、ただちにネットワークから切り離した。さらに全職員に注意喚起を行った。

しかし18日までに、ほかの職員にもウイルスメールが届き、感染はさらに拡大。同機構は19日になってようやく警視庁に相談。28日に個人情報の流出があったと連絡を受け、さらに4日がたった6月1日にようやく公表した。

一連の経緯から透けて見えるのは、同機構の管理の甘さや危機感のなさだ。

流出した125万件のうち、55万件の個人情報にはパスワードが設定されていなかった。担当職員であれば誰でも簡単にアクセスができ、内規違反にあたる状態が放置されていたことになる。

そもそも個人情報を管理するサーバーに接続するパソコンを、メール処理に使うなど外部ネットワークにつなげていることは、ほかの官公庁では考えられない状況だ。

また対応の遅さも目に付く。最初に感染が確認されたのは8日であるにもかかわらず、機構内の全パソコンを外部から遮断したのは29日になってからだ。

感染が拡大していた20日間、外部ネットワークとつながっていた状況をずっと放置していたことになる。

また、公表前にもかかわらず、職員と思われる複数の人物が2ちゃんねるに「ウイルス感染しました」と報告していた。

「あれほど、差出人不明メールは開封するな、と警告があったのに、、、」
「全職員はパスワードを強制的に変更させられました」
「月曜日には、ウイルス感染を公表するのかな？」

といった、職員にしか分からない内容が5月31日までに何度も書き込まれていた。

職員の間で問題に関する箝口令は敷かれていなかったのか。担当者不在のため分からなかったが、公表前にもかかわらずネット掲示板に書き込みが相次ぐ様子からは、危機意識のなさが透けて見られる。

「個人情報が抜かれてなければいいが、、、」と懸念する書き込みもあったが、現実のものになってしまった。

[引用/参照：http://www.j-cast.com/2015/06/02236783.html]

年金の個人情報がうんこ漏らした状況のなか、マイナンバー制の安全を訴える大臣サマが「年金と違ってマイナンバーにはファイアーウォールがある！」との心強いお言葉なんだけど、取材写真の頭が妙に尖ってシュールな絵になっていたのが気になる。 pic.twitter.com/z8egpe8d0E

— 朧 (@OB_RT) 2015, 6月 3

ニュースで「日本年金機構がサイバー攻撃された問題」と言ってるけどさ、受信したメールのよくわかんない添付ファイルを開いてみたらウイルスに感染しちゃった事件をこの国の役所では「サイバー攻撃」と呼ぶのか？どんだけマヌケなんだよーもう。

— 片岡K (@kataoka_k) 2015, 6月 3

日本年金機構は「サイバー攻撃を受けた」なんて言い方じゃなくて「重要な個人情報を含むPCでうっかり職員がウイルス入りメールを開封出来るうえ、別の感染PC経由でもアクセス出来て流出する程度のプログラム・人的セキュリティしか存在せず、識者も居らず全て外部任せで放置」って言って欲しい。

— 五月雨せつな (@takaflo) 2015, 6月 1

民主党・大串博志 5月31日「昨晩、私のTwitterが、何者かに乗っ取られてしまいました（略）」 ↓ サイバー攻撃で年金情報流出 ↓ 6月2日「そんなにうかつに添付ファイルを開くものか？」おまいうｗｗｗｗｗｗｗｗ pic.twitter.com/Ruv0ZuI9Za

— 500円 (@_500yen) 2015, 6月 2