「標的型メールって具体的にどんな攻撃なの?うちの組織でも起きたら怖い」 「年金機構の事件、なぜ125万件もの個人情報が流出してしまったんだろう」
ボスー!2015年の日本年金機構のサイバー攻撃って、標的型メール1通で始まったって聞いたんでしゅけど……本当でしゅか?
本当だ。しかも攻撃の巧妙さよりも「防げたはずなのに防げなかった」組織側の問題が際立つ事件でもある。 今日はこの事件を通じて、標的型攻撃の本質を学んでいこう。
標的型メール攻撃は、不特定多数に送りつけるスパムとは根本的に異なります。 攻撃者は特定の組織や個人を念入りに調査し、信頼させるメールを送りつける高度な手口です。 2015年に発生した日本年金機構の個人情報流出事件は、この攻撃がいかに組織の隙をついてくるかを鮮明に示す事例です。
この記事を読むことで、標的型メール攻撃の仕組みと、組織として取るべき具体的な対策が明確になります。
標的型メール攻撃がどのように組織に侵入するかの仕組み
125万件の年金情報が流出した組織的・技術的な原因
同じ被害を繰り返さないためにセキュリティエンジニアが実践すべきポイント
公的機関や大企業を問わず、標的型攻撃の被害は今も続いています。 この事件を「過去のこと」として流すのではなく、自組織の防衛に活かしてください。
目次
日本年金機構 個人情報流出事件の概要
2015年5月、日本年金機構の内部から外部への不審な通信が検出され、国民の年金情報が大規模に流出した事実が明らかになりました。
事件の発端:1通のメールが招いた125万件の流出
2015年5月8日、日本年金機構の職員が業務に関係するように見せかけた添付ファイル付きのメールを開封しました。 この添付ファイルがマルウェア「Emdivi(エムディビ)」の感染源となり、組織内ネットワークへの侵入を許してしまいます。 攻撃者はその後、内部ネットワーク上の共有フォルダに保存されていた個人情報ファイルに次々とアクセスし、外部へ持ち出しました。
え!1通のメールを開いただけで、そんなに被害が広がるんでしゅか!?
そうだ。しかも5月8日の感染から、外部への通信がNISC(内閣サイバーセキュリティセンター)に指摘された5月28日まで約3週間、機構内では異常が十分に把握されていなかった。 その間も攻撃は続いていたということだ。
事件の主な経緯は以下の通りです。
2015年5月8日:標的型メールの添付ファイルを開封し、Emdiviに感染
5月中旬:複数のPCへの感染が拡大し、内部の個人情報ファイルへのアクセスが繰り返される
5月28日:NISCから外部への不審な通信を指摘され、事態が発覚
6月1日:日本年金機構が個人情報流出を公表
2015年8月20日:NISCが「日本年金機構における個人情報流出事案に関する調査結果」を公表
特に問題視されたのは、感染を把握した後もネットワーク遮断の判断が遅れた点です。 この判断の遅れが、被害を最大化させた直接の要因となりました。
流出した情報の内訳と被害の深刻さ
今回の事件で流出した個人情報は、単なる氏名や連絡先にとどまりません。 基礎年金番号という生涯にわたって変わらない識別子が含まれており、その深刻さは他の情報漏洩事故とは一線を画します。 日本年金機構が公表した流出情報の内訳は以下の通りです。
流出した情報の組み合わせ 件数 氏名+基礎年金番号 約101万件 氏名+基礎年金番号+生年月日 約14万件 氏名+基礎年金番号+生年月日+住所 約6.5万件 合計 約125万件
(出典:日本年金機構「個人情報流出に関するお詫びとご報告」2015年6月)
基礎年金番号って、一生変わらないものでしゅよね。それが流出したら、フィッシング詐欺に使われたりしないんでしゅか……
そのリスクは現実にある。 事件後には流出情報を悪用したとみられるなりすまし被害の相談が相次いだ。 情報流出の被害は、流出した瞬間だけでなく、その後も長く続くものだ。
基礎年金番号の流出は年金給付詐欺やなりすまし被害につながるリスクをはらんでいます。 日本年金機構は一部の業務停止と基礎年金番号の変更対応に追われ、その事務コストも膨大なものとなりました。
攻撃者が使った手口:標的型メール攻撃の仕組み
この事件の核心は、なぜ職員がメールの添付ファイルを開いてしまったのかにあります。 通常のスパムメールとは異なり、攻撃者が事前に組織を調査した上で送り込む巧妙なメールでした。
スピアフィッシングで組織の信頼を逆手にとる手法
「スピアフィッシング」と呼ばれる標的型メール攻撃は、特定の組織や個人を狙い打ちにします。 攻撃者はターゲット組織の業務内容、担当者名、業界の動向を事前に調査した上で、違和感のないメールを作成します。 日本年金機構への攻撃でも、当時話題になっていたスポーツイベントや業務に関係するような件名が使われたと報告されています。
スピアフィッシングの代表的な手口は以下の通りです。
業務関連を装った件名(「給付情報の確認について」「取引先からのご連絡」など)
実在する人物や組織名を差出人に偽装する
マルウェアを仕込んだWord・PDFなどの添付ファイルを同封する
本文に違和感を持たせないよう、実際の業務用語や文体を模倣する
業務のメールに混じって送られてきたら、見分けるの難しそうでしゅ……
だからこそ「見分ける」ことだけに頼った対策は限界がある。 一人の職員が騙されても、その先に被害が広がらない仕組みを作ることが本質だ。
米国のセキュリティ企業Verizonが毎年発行する「Data Breach Investigations Report」でも、社会工学的攻撃(ソーシャルエンジニアリング)は組織へのサイバー攻撃における主要な初期侵入手口として毎年上位に挙げられています。 職員個人の注意力だけに防衛を頼るのは、攻撃者に有利な条件を与え続けることと同じです。
マルウェア「Emdivi」が内部ネットワークを制圧した流れ
添付ファイルを開封した瞬間、職員のPCにはマルウェア「Emdivi」が仕込まれました。 Emdiviはバックドア型のマルウェアで、感染後に攻撃者が管理するC2サーバー(Command and Control Server)と通信を確立し、遠隔操作を可能にします。 IPAの分析によれば、Emdiviは実行ファイルの痕跡を隠すよう設計されており、従来のパターンマッチング型ウイルス対策ソフトでは検知が困難でした。
感染後の攻撃の進行は次のステップで進みました。
STEP
初期感染
添付ファイルの開封でEmdiviが実行される。 PCにバックドアを設置し、C2サーバーへのアウトバウンド通信を確立する。
STEP
横展開(ラテラルムーブメント)
感染PCから内部ネットワークを探索し、他のPCやサーバーへ侵入範囲を拡大する。 認証情報を収集しながら、より権限の高いシステムへと侵入していく。
STEP
情報収集と外部持ち出し
共有フォルダ上の個人情報ファイルを発見し、C2サーバー経由で外部へ持ち出す。
(参考:IPA「標的型サイバー攻撃対策に向けた取り組み(企業・組織における対策編)」)
このような段階的な攻撃は「APT(Advanced Persistent Threat:高度持続的脅威)」と呼ばれます。 日本年金機構への攻撃を行ったグループは、セキュリティ企業カスペルスキーが「Blue Termite」と命名したAPT集団とされています。 一度侵入を許すと気づかれずに長期間潜伏し、内部の情報を収集し続けることが特徴です。
なぜ防げなかったのか:組織的な脆弱性の実態
この事件は攻撃が高度だったというよりも、組織側の備えの不足が被害を最大化させたという点に最大の問題があります。
個人情報を含むネットワークが分離されていなかった
もっとも根本的な問題は、機微な個人情報ファイルが業務用ネットワークの共有フォルダに、アクセス制限なく保存されていたことです。 NISCの調査報告書(2015年8月20日公表)では、年金情報のファイルが重要情報用の分離ネットワークではなく、一般業務ネットワーク上の共有フォルダに置かれていたと指摘されています。 この状態では、Emdiviが1台のPCに侵入するだけで、内部ネットワークを介して大量の個人情報ファイルへのアクセスが可能となりました。
えっ、重要な情報が共有フォルダに普通に置いてあったんでしゅか!?
それが現実だ。 しかも個人情報ファイルの一部は暗号化されていたが、約124万件は暗号化もされていなかった。 利便性を優先した結果が、このような管理状態を生んだということだ。
情報管理における主な問題点は以下の通りです。
個人情報を含むネットワークと一般業務ネットワークが分離されていなかった
共有フォルダのアクセス権限が広範囲の職員に付与されていた
約124万5,000件の個人情報ファイルが暗号化されていなかった
通信監視が機能せず、外部機関の指摘まで流出が発覚しなかった
機微な情報を扱うシステムは、業務効率を損なわない範囲で「最小権限の原則」に基づいてアクセスを制限すべきです。 この原則を守っていれば、Emdiviが侵入してもアクセスできる情報は大幅に絞られていたはずです。
初動対応の遅れが被害を最大化させた
感染が疑われた段階でネットワーク遮断の決断が遅れたことも、被害拡大の大きな要因です。 NISCの調査報告書では、感染を把握した後も機構が約2週間にわたり外部への通信を遮断しなかったと指摘されています。 インシデント対応の基本は「まず止める」ですが、業務継続への懸念から判断が遅れてしまったとされています。
このインシデント対応の問題を整理すると、次の点が挙げられます。
事前に定めたインシデント対応計画(IRP)が機能しなかった
「業務が止まるのでは」という懸念が遮断の判断を遅らせた
NISCや厚生労働省への報告が遅延し、早期の外部支援が得られなかった
職員向けのセキュリティ訓練・教育が不十分で、感染への対処手順が共有されていなかった
業務が止まるのが怖くて対応できなかったっていうの、なんか気持ちはわかるでしゅ……でもそれが裏目に出たんでしゅね。
インシデントが起きたとき「業務継続か遮断か」を判断する基準を事前に決めておかないと、現場は動けない。 有事に初めて考えていては、その間も攻撃は続くということだ。
経営層や管理職を含めた意思決定体制の整備と、段階的なネットワーク遮断の判断基準を平時に文書化して共有しておくことが欠かせません。 事後対応コストが事前対策コストを大幅に上回ることは、この事件が最も端的に示しています。
セキュリティエンジニアへの教訓:今すぐ取り組める対策
日本年金機構の事件は2015年ですが、同じ手口の標的型攻撃は今も続いています。 この事件が示した教訓をもとに、セキュリティエンジニアが実践できる対策をまとめます。
技術的対策:侵入を前提とした多層防御の実装
標的型攻撃に対して「入口で100%防ぐ」という発想は捨てるべきです。 侵入を前提とした上で被害を局所化する設計が、現実的な対策の出発点となります。 IPAが推奨する「多層防御」アプローチでは、入口・内部・出口のそれぞれに対策を講じることが重要です。
具体的に実装すべき技術的対策は以下の通りです。
ネットワークセグメンテーション :個人情報を含むシステムを業務ネットワークから論理的・物理的に分離する
最小権限の原則の徹底 :業務上必要な最低限のアクセス権のみを付与し、過剰な共有フォルダアクセスを排除する
EDR(Endpoint Detection and Response)の導入 :パターンマッチングに依存しない振る舞い検知で、未知のマルウェアを検出する
C2通信のブロック :プロキシや次世代ファイアウォールで異常なアウトバウンド通信を検知・遮断する
機密ファイルの暗号化 :万が一持ち出されても内容を読み取れないよう、個人情報ファイルを暗号化して保存する
EDRか、うちの会社でも最近導入の話が出てたでしゅ!こういう事件があると必要性がよく分かりましゅね。
いい着眼だ。 ただしEDRを入れるだけでは足りない。 アラートが出たときに誰が何をするか、手順と権限を決めておかないと、ツールは宝の持ち腐れになる。
技術ツールの導入は対策の第一歩ですが、それを活用する体制が整って初めて意味を持ちます。 「ツールを入れたから安心」という思考停止に陥らず、運用を含めた設計が求められます。
組織・人的対策:人間の脆弱性をカバーする仕組みづくり
標的型攻撃は「人間の信頼」を利用します。 どれだけ優秀な職員でも、巧みに偽装されたメールを100%見抜くのは容易ではありません。 そのため職員の注意力に頼るのではなく、組織的な仕組みで人間の脆弱性をカバーする設計が重要です。
組織として整備すべき人的・運用面の対策は以下の通りです。
標的型メール訓練の定期実施 :擬似的な標的型メールを定期的に送り、開封率や報告率を測定・改善サイクルに乗せる
インシデント対応計画(IRP)の策定と演習 :感染疑いが出たときの遮断基準・報告ルート・意思決定者を事前に定め、定期的に訓練する
報告しやすい文化の醸成 :「開いてしまった」と報告できる心理的安全性を確保し、初動対応を早める
経営層へのセキュリティ教育 :遮断判断など重要な意思決定に経営層が関与するため、脅威認識の共有が欠かせない
IPAの「情報セキュリティ10大脅威 2024」(組織編)でも、標的型攻撃による機密情報の窃取は2位に位置づけられており、脅威は現在進行形です。 (出典:IPA「情報セキュリティ10大脅威 2024」) 技術的・組織的な両輪で対策を回し続けることが、標的型攻撃への現実的な答えです。
報告しやすい文化、大事でしゅね。「自分がミスした」って言いにくい雰囲気だと、感染を隠してしまうこともありそうでしゅ。
実際にそれが原因で初動が遅れたケースは数多い。 「報告したら怒られる」という空気が、組織全体のリスクを高める。 技術以上に、この文化的な問題がセキュリティの根幹を決めることがある。
まとめ
日本年金機構の個人情報流出事件は、標的型メール攻撃の巧妙さと組織の備えの不足が重なって生じた事件です。 1通のメール開封を起点に、ネットワーク分離の不徹底・初動対応の遅れが重なった結果、約125万件もの年金情報が流出しました。
この事件から学ぶべき教訓を3点にまとめます。
「侵入を防ぐ」ではなく「侵入されても被害を最小化する」設計に切り替える
個人情報は最小権限・ネットワーク分離・暗号化の三つで守る
インシデント対応計画を平時に整備し、報告しやすい組織文化を育てる
この事件から10年が経ちますが、標的型攻撃の手口はいっそう洗練されています。 過去の教訓を自組織に照らし合わせ、今日の対策に活かしてください。
ありがとうございましゅ、ボス!技術対策も大事でしゅけど、報告できる文化を作ることも同じくらい大事なんでしゅね。
ふふふ。セキュリティは技術だけでは完結しない。 人と組織を含めた全体設計だ。この事件を教科書にして、しっかり備えるんだな。