日本年金機構からの情報漏洩、ウイルス入り添付ファイルを開いたのは一人だけではなかった 120
添付ファイルを開かない自信のある人は石を投げよ 部門より
先日明らかになった日本年金機構からの情報漏洩事件について、徐々にその情報が明らかになっている。
まず、日本年金機構にはたびたび攻撃が行われており、東京と福岡、少なくとも計2件のウイルス感染案件が確認されているという(日経新聞、読売新聞)。それぞれ別の職員がウイルスを含む添付ファイルを開封し、感染していた模様。
また、添付ファイルではなく、メールに記載されたURLから不正サイトに誘導され、PCがウイルスに感染していたという話も出ている(日経新聞)。これが上記の2件に含まれているかは不明だ。
実際に職員に送られたという「不審なメール」についてだが、一例として差出人アドレスはヤフーのフリーメールで、セミナーへの参加を促すようなものが挙げられている(日本テレビ)。そのほかのフリーメールが送信元となっているものもあるようで、またウイルスを含む添付ファイルとしてLZH形式ファイルが使われていたものもあったようだ。なお、職員のPCには最新のウイルス対策ソフトが入っていたが、「新種」のため検知できず感染が広がっていたという(毎日新聞)。しかし、メールに添付されたウイルスは昨年秋に国内の大手企業などに送りつけられたウイルスと同じ型という報道もあり(読売新聞)、なぜ防げなかったかは疑問が残る。
このウイルスは「クラウディオメガ(CloudyOmega」なる攻撃グループが使用していたものと同種とのこと。CloudyOmegaについてはSymantecの公式ブログで言及されているが、このグループによる攻撃は2011年から確認されているという。
いっぽう、日本年金機構側の管理体制の甘さも露呈している。毎日新聞によると、今回流出した情報はLAN内のファイル共有サーバーに格納されていたものだそうで、業務に必要なデータを社会保険オンラインシステムからCD-ROMなどで移していたものだそうだ。さらに、5月8日に外部との不審な通信が確認されていたものの、PCのネットワークからの切断と行った対応のみが行われており、その後別の職員が添付ファイルを開いて再度ウイルスに感染、最終的に数十台がウイルスに感染する事態になっていたという。ルール上は個人情報をファイル共有サーバーに個人情報を格納することは原則として禁止されており、またもし個人情報を格納する際はパスワードを設定することを科していたという。しかし、今回漏洩した125万件のうち約55万件はパスワードが設定されていなかったそうだ(日経ITpro)。
パスワードの強度について規定していたのか気になる (スコア:4, 興味深い)
>もし個人情報を格納する際はパスワードを設定することを科していた
パスワード暗号化の強度について規定していたのかが気になります。
というのも、ExcelやMicrosoft Wordの2003以前の形式(xlsやdoc)のパスワード暗号化は、もの凄く弱いので (*1)。
Office 2007以降はマトモですが、それでも短いパスワードだと危険です。
また、zip圧縮も、新しいAES-256暗号化なら安心ですが、古いZip 2.0 (Legacy)はかなり弱いです。
*1 Excel RC4 Encryption Algorithm
http://auntitled.blogspot.jp/2010/12/excel-rc4-encryption-algorithm.html [blogspot.jp]
> "salt", "verifier", and "verifierHash" can be extracted from FILEPASS record in Excel file.
> Can you see it? The "real_key" is only 5 bytes (40 bits). If you can find this key, no need to use password.
> The key space of real_key is 240. It is possible to do brute forcing.
Re: (スコア:0)
補足。まともなファイル暗号化が必要なら、PGPを使ってください。
Re:パスワードの強度について規定していたのか気になる (スコア:2, 興味深い)
今回の場合は、もともとのシステムがあまりにも使いにくいという理由で、上司が権限を行使して個人情報を勝手に抜き出して使っていた、という流れなので、そもそもファイルの暗号化がどうとか言う話では無いと思います。
検証されるべきは、
ではないかと。
Re:パスワードの強度について規定していたのか気になる (スコア:2)
> 上司が権限を行使して
> 本当にシステムが使いにくいものだったのか
それのソースはどこなんですかね?
> その上司にすべき教育は正しく行なわれていたのか、
教育を行っていても変わらなかったような?
Re:パスワードの強度について規定していたのか気になる (スコア:2)
生データをexcelで加工すれば簡単にいろいろできるからね。
Re:パスワードの強度について規定していたのか気になる (スコア:1)
「上司が権限を行使した」んじゃなくて「上司の権限を行使した」という報道もあり。
上司のパスワード、みんなが知ってたってw
びっくりしただろうな (スコア:2)
この攻撃した人も簡単すぎてびっくりしただろうな。
このデータ本物か?とか逆にトロイ送られた?とか実はこっちが標的?とか
いろんなことが頭をよぎったことでしょう。
そもそも無理なんじゃねーの? (スコア:2)
怪しげなアドレスからのメールは開いちゃダメ
とか
怪しげな添付ファイルは開いちゃダメ
とか
個人情報の入ったファイルはパスワード付けて暗号化しておけ
といった、運用ルールで縛ってセキュリティを維持する方法が限界に近いのでは?
たかだかウイルスに感染したくらいでは重要情報は流出しえないようなネットワーク
とサーバーやクライアントの構造にしなきゃいけないんじゃないの?
たとえば、重要情報を扱えるのはVDIかリモデ環境だけで、ファイル転送もコピペも
不可といったような仕組みにするとか(詳しい人お願いします)・・・
ま、印刷やらDM送ったりやら課題は多そうだけどさ。
ルールが面倒くさいとルール破りが横行するのは人の世の常だし。
**たこさん**・・・
藤沢市 標的型メールの抜き打ち訓練 (スコア:2)
対象者の4割近い60人余りがメールを開いてリンクをクリックしてしまったということで、訓練を行ったIT推進課の大高利夫課長は「啓発を行っても、実際に送られてくるメールは実在したり、実在しそうな組織名や内容が記されて送られてくるので完全に防ぐのは困難だと実感した」と話しています。
http://www3.nhk.or.jp/news/html/20150602/k10010100651000.html [nhk.or.jp]
これ各会社でやったほうがいい。
集住台 (スコア:1)
Re:集住台 (スコア:2)
住民基本台帳かなにかの略語かと…
Re: (スコア:0)
世界史の古代ギリシア時代の授業をふと思い出してしまった>集住
ウン十年前のひとこま(苦笑)
LZH書庫は開いちゃダメ (スコア:1)
年金情報“流出” 不審メールの内容入手
日本テレビ系(NNN) 6月3日(水)5時29分配信
http://headlines.yahoo.co.jp/videonews/nnn?a=20150603-00000008-nnn-soci [yahoo.co.jp]
この動画によると、添付ファイルの拡張子はlzh。
UNLHA32.DLLの開発停止、作者がLHA書庫の使用中止を呼びかける
http://security.srad.jp/story/10/06/07/0335205/ [security.srad.jp]
Re:LZH書庫は開いちゃダメ (スコア:1)
後は自己展開形式の圧縮ファイルも。
今回とは関係ないが、自己展開形式のファイル暗号化ソフトって、
セキュリティ高いどころかセキュリティホールだよね。
Re: (スコア:0)
LZH形式かどうか以前に、差出人がyahooメールなことを疑わないと。
Re:LZH書庫は開いちゃダメ (スコア:1)
webフィルタのようにメール送信元の危険度ランクを表示するシステムが欲しい。
「この送信元ホスト(mhlw.go.jp)からのメールには性描写が含まれている場合があります。」
まあ、企業・フリーメール・有償会員サイト・SPAMかの色分け程度でいいが。
Re: (スコア:0)
モノがどうかというより、
送信元を知らないメールをなぜ開けるのか。
セミナー参加にしても、そういうことは普段からメーリングリストなどで回すものだ。
突然知らない人から来て、本物だとしても、見る必要はあるまいに。
この人ら、メールでATMで金振り込めって書いてあったら振り込むんかい。
Re:LZH書庫は開いちゃダメ (スコア:1)
そういう話じゃないでしょうに。
不特定多数からの問い合わせがあるところで、送信元が分からないメールがどれだけ来るとお考えなのでしょうか。
メールのやりとりと、年金情報の管理を同じネットワークでやっていたことこそが問題なのではないかと。
ヒューマンエラーはある程度起こりうる物として仕組みを設計しないと、何度でもこういう事故は起こると思いますよ。
Re: (スコア:0)
別系統に分けるだけの予算があるのかとかが問題になる悪寒…
今回の漏洩の一番の原因の個人情報を共有フォルダに保存したことも、
本来は禁止されていたことで、やむを得ない場合はパスワードをつけることなってたはずが、
実際には守られていない。
仕組みを作っても、お偉いさんの意識が変わらないと、また骨抜きになるのを繰り返しそうだ。
Re: (スコア:0)
だから、本来禁止されていたって言うのをできちゃうのがおかしいんですって。
禁止っていうルールだけだと絶対に守られないのなんてわかりきっているのだから、
実際にできなくする「仕組み」が必要。
Re: (スコア:0)
だから、その仕組みに抜け道を作らないようにするには、
お偉いさんの意識改革が必要で、抜け道通らないと業務が回りません。で、
スルーされたら意味がないと言ってるの。
年金機構を無人の自動システムにでもしろと?それができれば確かに解決するけど。
Re: (スコア:0)
『実際にできなくする「仕組み」』などというものは、
結局はその組織を運営する人間の意識を改革しない限り維持できない。
教育なしに厳正なシステム維持など不可能。
Re:LZH書庫は開いちゃダメ (スコア:1)
簡単だよ
紙の書類で管理すればいい。
Re:LZH書庫は開いちゃダメ (スコア:1)
>「お偉いさん」なら法で強制されれば守るだろう。
えっ?
ψアレゲな事を真面目にやることこそアレゲだと思う。
その結果、パスワードの定期的な変更が義務付けられるんですね (スコア:5, 参考になる)
Payment Card Industry(PCI)データセキュリティ基準 バージョン3.0 [pcisecuritystandards.org] を見てみましたが、酷い内容でした。
今時、パスワードを定期的に変更するメリットは殆どなく、害の方が大きい [tokumaru.org] のに、このセキュリティ基準はその事実を認められない頭の固い人が作っているようです。パスワード定期的変更推奨派の拙い論理は、既に、高木浩光さん、徳丸浩さんといった著名なセキュリティ専門家に完全に論破されています。
こんなふざけた基準を法律で義務化するのは、迷惑です。
Re:LZH書庫は開いちゃダメ (スコア:1)
・セキュリティの最高責任者には「お偉いさん」を指定(日本年金機能の場合は理事長?)
・セキュリティの最高責任者はセキュリティ問題発生時に責任を負う
とすれば良いと思う。
Re:LZH書庫は開いちゃダメ (スコア:1)
>個人情報保護法
それはちょっとだけ違う(揚げ足取りになってゴメン)。民間が対象の法律。
日本年金機構による情報取扱は
独立行政法人等の保有する個人情報の保護に関する法律(平成十五年五月三十日法律第五十九号) [e-gov.go.jp]
に縛られる。
日本年金機構法 [nenkin.go.jp]
の12条4 二を参照のこと:
Re:LZH書庫は開いちゃダメ (スコア:1)
まじめで几帳面な人なら引っかからない、、と思っているのかもしれないが、
官房秘書課の名をかたって
「省外の方から貴殿の電話応対について苦情が届いています。詳細は別添の通り。」
とやれば、かなり高い確率で引っかかる。
勤務態度の悪い奴はこの手のメールをガン無視するから、逆に引っかからない。
標的型メールの攻撃訓練を10回くらい受けてもこんなものだよ。
職員が一万人もいれば、数十人引っかかるのが当たり前。
むしろ一人も引っかからないようなメールなら、メール出した方が残念なくらい
無能といえる。
Re: (スコア:0)
意味わかんないですね。dll使ってないソフトは安全ですが。また、LZHに対応したセキュリティソフトもありますけど?別にLZHそのものに脆弱性があるわけではないでしょう。
Re: (スコア:0)
ヘッダーを細工されたLZHアーカイブを検査できないセキュリティソフトが存在するのに、その情報を脆弱性として取り扱わずにスルーしたJVNの怠慢がこの問題の遠因かもしれない、という事でしょう。
まだ、LZHアーカイブが年金機構のゲートウェイでどのような取り扱いをされたのか情報が無いのでなんとも言えませんが、もしもヘッダーが改ざんされていたことで検出できなかったとしたら…
Re: (スコア:0)
LZH圧縮自体が危険(アンチウイルスソフトが中身を検知できない)なので、dllの使用の有無は関係ありませんよ。
ウイルス対策ソフトが検知できないんじゃなくて、しないからですよ?
dll作者はソフトメーカーに検知するように依頼を出しおていたはず。
Re: (スコア:0)
デマもいい加減にしてください。できるのもありますよ。全部ができないという話ではなかったはずですが。日本年金機構ほどのところでその評価をやっていないとは思えないし、やっていないなら大問題でしょう?
Re:LZH書庫は開いちゃダメ (スコア:2)
>日本年金機構ほどのところでその評価をやっていないとは思えないし
やっていないほうにコーヒー一杯くらい賭けてもいいと思う。
なぜなら日本年金機構だから。
良かった。俺一人じゃなかったよ。 (スコア:0)
って、ことですねか。
Re:良かった。俺一人じゃなかったよ。 (スコア:1)
みんなで書けば怖くない?
https://twitter.com/HiromitsuTakagi/status/605375988248158209 [twitter.com]
徹底的な「なぜなぜ」と、年数回の抜き打ち監査を (スコア:0)
確かに仕方がない部分もあるが、それ以上に同じ運用系として信じられない部分が多い。
ルールを守れない人は業務から外して、相応しい作業へ転換して欲しい。。
Re:徹底的な「なぜなぜ」と、年数回の抜き打ち監査を (スコア:1)
それが出来るのなら、日本年金機構を旧社会保険庁(杜撰な業務実態で社保庁自身の解体を促した張本人たち)ベースで作ることはなかったでしょう。
当時、どうせコストを掛けてやるのなら、多少コストアップしたとしても綺麗に洗い替えした方がいいだろうと思ったものですが(一時的にせよ池の水を全部抜いたら魚が死んでしまう云々の反対意見もありましたが、本当に必要だったのは魚=旧社保庁職員の生活維持ではなく池の水瓶たる機能=年金制度そのものだったという事でしょう)、結局そうはできなかった。
まぁ、想定内の出来事のような気がしますね。
Re: (スコア:0)
> ルールを守れない人は業務から外して、相応しい作業へ転換して欲しい。。
確かにその通りではあるのだけども、ルールを守る人と、そのルールに従って作業する人というはだいたい
別の人間で、えてして守っているとまともに作業できないルールになってしまいがちだからね。
ただ、まあ今回の場合は、そもそもなんで外部とつなげる必要があるのかわからないけどね。
年金機構の仕事の性格上、この手の情報を扱う人が外部につながる必要なんであまりないような気がする。
Re: (スコア:0)
「自分のデスクのPCで作業する方が効率がいい。でも、そのPCはインターネットに繋がっており、電子メールを受け取れる」ってだけでしょ。
(デスク周りにはいろんな資料もあるだろうし、(正規の)業務メールなどからのコピペもできるし、色々便利だとは思う。)
他にもマスターのDBにアクセスできるPCで作業してると他の人に迷惑ってのもあるかも。
見事に釣られた上司 (スコア:1)
訓練用のメールが来た時、添付ファイルを開いて確認するということもせずに本文だけを見て部下全員に転送し、部下たちを地引網で釣ってみせた上司がうちにおりました…
そして、うちのIT部門は今回の事件を受けて不審なメールの添付ファイルは開かないようにという通知を出したのですが、メール本文にはほとんど内容を書かず、添付ファイルを見ないと内容がわからないというメールで通知が送られてきました。
添付ファイルを開くべきか開かないでおくべきか、少しの間悩んでしまいました。
全員入れ替えれば良かったんだよな (スコア:0)
あの時、長妻はかっこいいことばかり言ってた。
看板はすげ替えた、しかし、中身の人間の体質が変わらなかったので、この有り様だ
あの時、保険会社のシンジケートからなる民間組織にすれば責任を取らせられたのだ
年金は結局何も解決していない
公務員に金を任せて良いのだろうか
Re:全員入れ替えれば良かったんだよな (スコア:3)
マニフェスト通り歳入庁作ってた方がマシだったかもですね。
日和って自民党時代の日本年金機構法踏襲しちゃったのが失敗
Re: (スコア:0)
よくないから年金滞納する若者が多いんでしょ
もう随分払ってしまった我々は、目減りしないよう祈ることしかできない。
Re:日本政府(裁判所含)セキュリティー意識の判定基準 (スコア:1)
精神主義ではどうにもなりません。まず、セキュリティ専門家を最高情報セキュリティ責任者 [wikipedia.org]に置いて、フールプルーフ [wikipedia.org]を強化して、ヒューマンエラーが起きても多層防御 [wikipedia.org]に穴が起こらないようにするべきでしょう。
するべきでしょう (スコア:0)
税金でね。
我々からは「何でしないのその為の税金でしょ?」なのだけど、
そうは思わない人が権限握ってるのですよ。
Re: (スコア:0)
問題は非専門家へのセキュリティ啓蒙が足りてないことにある気がします。本来はマスコミがセキュリティ不安を煽って、新手法・新技術の紹介・普及に努めるべきなのに、日本のマスゴミは腐ってますから…。
Re:するべきでしょう (スコア:1)
法で強制しようとシステムで強制しようと、
それを遵守する精神がなければ無意味なんだけど……
ψアレゲな事を真面目にやることこそアレゲだと思う。
Re:ISMS (スコア:1)
あれとかそれに類した認証は官公庁やそれに類した組織や大企業など金額的によさげな仕事を受注するため体裁を整える目的で取得するもの。さもなくば株主の意向とか。
日本年金機構には塵ほどの努力すら必要ないからに決まっている。
Re:ISMS (スコア:1)
>強要しておきながら、自分はスルーなのか。
ISO/IEC 27k (JIS/Q 27k) シリーズは国際規格であっても民間での規格ですから。
Re:一番簡単な解決法 (スコア:2)
ついでに生活保護も児童手当も健康保険も廃止して、ベーシックインカムにしちまう。
一人月額8万円くらいを全国民に配る。金持ちにははした金でも貧乏人にとっては大金!
子供を産めばどんどん金額が増える。2人目以降は何人いてもかかる金は比例しないが
収入は比例する。ついでに医療費は全額無料化。・・・でどう?
**たこさん**・・・