その名も情報漏洩天国。今考えました。ええ、日本年金機構の件です。
初報はこれでしょうか
年金の個人情報125万件流出か サイバー攻撃
http://www.asahi.com/articles/ASH615KL1H61UTFL00F.html
不正アクセスされたのは一部の職員に見る権限が限られている「情報系システム」の情報で、流出したとみられるのは「基礎年金番号と氏名」が約3万1千件、「番号、氏名、生年月日」が約116万7千件、「番号、氏名、生年月日、住所」が約5万2千件。年金記録を管理する「社会保険オンラインシステム」は情報系システムとは分離されており、不正アクセスは確認されていないという。
外からのダイレクト攻撃の心配しかしてないのがヤバイ。ウイルスを踏むような阿呆がウジャウジャ居る職場ではファイアウオールなんざ何の意味も持たない。
一昔前では、せっかく入室セキュリティを掛けてるのに、スタッフが飲み屋で愚痴るから機密が駄々漏れるとかいう落語があった。事実かどうかは知らない。今だったらツイッターだろう。
「情報系システムから分離されて」居るところからどうすれば漏れるのか。答えは簡単、「またエクセルか」大概の人がそう思っただろう。小生もその1人だ。故に残念ながら驚かない。
そしてその事を憂う人も一人ではないだろう。
https://twitter.com/youkoseki/status/605327086237028353
なにがすごいって、年金基礎番号がメールの添付ウィルスを開封する程度で流出してしまう事件について、もう誰も驚かないこと。生データが職員の持っていたパソコンごと電車に残されていても、非正規職員が名簿屋に横流ししていても、もう誰も驚かない。信頼ゼロという、ある意味で最強のセキュリティ。小生はあまり気にしてなかったが、日本年金機構は結構不祥事が続いてるらしい。そもそもの話、「年金を「預かってる」」という意識があれば、個人情報も金も粗末には扱わないはずではないのか。所詮は既得権利のうえに胡座を掻いているだけのことはある。NHKしかり。JASRACしかり。
日本年金機構からの情報漏洩、ウイルス入り添付ファイルを開いたのは一人だけではなかった
http://security.srad.jp/story/15/06/04/095255/
なお、職員のPCには最新のウイルス対策ソフトが入っていたが、「新種」のため検知できず感染が広がっていたという(毎日新聞)。しかし、メールに添付されたウイルスは昨年秋に国内の大手企業などに送りつけられたウイルスと同じ型という報道もあり(読売新聞)、なぜ防げなかったかは疑問が残る。
ルール上は個人情報をファイル共有サーバーに個人情報を格納することは原則として禁止されており、またもし個人情報を格納する際はパスワードを設定することを科していたという。しかし、今回漏洩した125万件のうち約55万件はパスワードが設定されていなかったそうだ(日経ITpro)。パスワードを設定した安全などと思ってる程度なら、この先何度でもやるだろう。社員番号、事務所の外線代表の下4桁、自分の所属の内線番号。有りがちなネタは真っ先に試される。そもそも素人がEXCELに掛けるパスワード如き、クラッカーソフトを使えばすぐに敗れる。
年金機構 業務委託で違法派遣
http://www.jcp.or.jp/akahata/aik15/2015-06-04/2015060402_01_1.html
堀内氏は、同機構から年金データ入力業務を請け負った会社が、労働者派遣法に基づく許可・届出のない別会社に社員を派遣させて、業務に従事させていたことを指摘。この派遣会社の住所に実体はなく、従業員に給与も支払わないなど、個人情報をまともに扱える事業者に委託されていないとただしました。
日本年金機構の水島藤一郎理事長は「(作業スタッフが)派遣であったとは把握していなかった」と述べ、外部委託した業務の実態をつかんでいなかったことを認めました。正直、これすら本当かどうか怪しいのだが、お誂え向きのスケープゴートがあってよかったじゃないですか。これでまさか年金機構はお咎めなしだとか思ってないですよね。
年金情報漏洩で思う「学習できない」方々
http://blogos.com/article/114663/
これなんか一番簡単な話で、ファイル暗号化のシステムさえ入れれば、完璧な暗号化が出来るはずです。コストをけちった為に導入しなかったのか、運用上の問題で出来なかったのかなんとも解りませんが、いずれにしても、機械的に自動で出来る代表的なものの1つです。問題はそこじゃないんだなー。
- 在り来りのパソコン(と汎用OS)を使って
- 在り来りのオフィスソフトの
- 在り来りのファイルフォーマットで
- 個人情報を扱っていた
オチは当然用意してあります。事実は小説より希なり
年金情報流出 防衛情報も標的か 同種ウイルス ほか300カ所にも
http://www.tokyo-np.co.jp/article/national/news/CK2015060502000253.html
同社によると、攻撃者は末尾に「exe」と記されたファイルをメールに添付して送る。この「exe」ファイルはウイルスを持ち、クリックするとプログラムが起動。メールを受信したパソコンが感染する。
ウイルスはその後、攻撃者側と勝手に通信を始め、侵入したシステムが攻撃対象なのかどうかを調べる。ほしい情報がある攻撃対象と判断すると、さらに別のウイルスを送り込んだり、システムに接続する他のパソコンを感染させたりして、情報を外部に送る。
同社は対策として、業務のメールに「exe」ファイルを使用しないことや、「exe」ファイルが添付されていたらクリックしないよう呼び掛けている。呼びかけて解決する話なら、犯罪は起こらない。問題はそこではない。
- これではexeファイルの全てが危険と誤解させる
- exeだけが危険な訳ではない。
- 実はexeでないけど実行形式の場合は他に幾つかがある。それで警戒を抜けたケースは幾らでもある。
https://twitter.com/readme/status/605522545962385408
・人間の努力や注意力に依存したシステムは必ず破綻するおっしゃる通りですわ。「周知徹底します!」は「悪者を決める方法」を決めた。ただそれだけだ。「次回は漏洩させた奴はクビです!」と言ってるだけ。実際そうすることだろう。
・人間がミスしないことを前提にした運用は必ず破綻する
…この2点が、どうかもっと周知されますように。
人間がミスをするのは当たり前のことだ。ミスを許容しないシステムなぞあり得ない。このことと最も真摯に向き合ったのは飛行機パイロットだろう。2名のパイロットを必ず搭乗させる。※最近は、パイロットを一人追い出して、墜落事故を起こした事件もあったが、それは割り引いて考えるべきだろう。
前出の記事から「exeファイル自体が慢性的に危険」と勘違いしたとしよう。勘違いが暴走するとこうなる、という思考実験をもってオチとさせていただきたく。
exeヤバイ!多くのPC内に「exe」ファイルが存在し「ウイルス」だという風評被害が発生!
http://www.yukawanet.com/archives/4886139.html
報道では、問題のメールに「exeファイル」が添付されており、それを実行しないようにすればウイルスに侵されないというシンプルな注意が喚起されている。しかし、それをわかりやすく伝えようとした結果、一般の方には「exe」がウイルスであるかのような見解を与えてしまい、結果exe形式すべてを実行しないほうがいいのではないかという不安をあおっている。これ自体はジョークツイートを発端としている。ただ「iOS8.2アップデートでiPhoneの防水機能が付く」とかいうデマを真に受ける消費者だ。何を信じるか判らない。
