標的型メールを見破るも情報を共有せず、日本年金機構事件からの教訓(ラック) | ScanNetSecurity
2025.12.04(木)

標的型メールを見破るも情報を共有せず、日本年金機構事件からの教訓(ラック)

ラックは、「日本年金機構の情報漏えい事件から、我々が得られる教訓」と題した資料を公開した。

調査・レポート・白書・ガイドライン 調査・ホワイトペーパー
82 views
facebookLINE
今回の事件の概要
今回の事件の概要 全 1 枚 拡大写真
株式会社ラックは6月9日、「日本年金機構の情報漏えい事件から、我々が得られる教訓」と題した資料を公開した。同資料は、日本年金機構における情報漏えい事件について、背景や想定される原因を現状の情報から整理し、対処方針などを提言するもの。同機構では、基礎年金番号などを含む個人情報を保管する基幹系システムと、インターネットに接続できる情報系システムを切り離して管理していた。しかし、なぜか個人情報が情報系システムに複製されていた。

今回の情報漏えいは、標的型攻撃メールによるウイルス感染であるが、まさに同機構のような公共団体は攻撃を受けやすい。同機構でも標的型攻撃メールを開いたのは数名で、ほとんどの職員は攻撃を見抜いている。しかし、攻撃を見抜いた職員がそれを誰にも告げなかったことが問題であると指摘している。また、最初の感染は5月8日で、これは内閣サイバーセキュリティセンターが検知しており、厚生労働省を通じて同機構に伝えられているという。

同機構では感染したPCを特定して隔離し、ウイルス対策ベンダにより解析が行われた。しかしその後も攻撃が続き、感染台数も増えたことで、警察庁に被害相談を行った。この経緯から資料では、ウイルス対策と標的型サイバー攻撃対策を区別できていなかった可能性があるとしている。今回の事件から、マイナンバー制度が不安視される傾向にあるが、マイナンバー制度では個人情報保護に対して法律で厳しい基準が決められており、いたずらに不安に思う必要はない。それよりも社員や職員の意識改革と教育、事件・事故前提の組織体制の構築、事故対応チームの組織化などが重要としている。

《吉澤 亨史( Kouji Yoshizawa )》

関連記事

この記事の写真

/

特集

関連リンク

PageTop

アクセスランキング

  1. 流出先での営業活動が新たに判明 ~ ヤマト運輸の元従業員による情報不正持ち出し

    流出先での営業活動が新たに判明 ~ ヤマト運輸の元従業員による情報不正持ち出し

  2. テインへのランサムウェア攻撃、子会社の中国工場が 1 週間稼働を停止

    テインへのランサムウェア攻撃、子会社の中国工場が 1 週間稼働を停止

  3. 期限警告 金銭未払 情報漏えい ~ 迷惑メール「HEUR:Hoax.Script.Scaremail」が受信者を脅しそして煽る 5 つのパターン

    期限警告 金銭未払 情報漏えい ~ 迷惑メール「HEUR:Hoax.Script.Scaremail」が受信者を脅しそして煽る 5 つのパターン

  4. コバヤシのサーバに不正アクセス、情報が窃取されるもデータ暗号化や業務停止に至る被害は無し

    コバヤシのサーバに不正アクセス、情報が窃取されるもデータ暗号化や業務停止に至る被害は無し

  5. 大企業における VPN 時代の終焉ほか ~ Zscaler 2026年サイバーセキュリティトレンド

    大企業における VPN 時代の終焉ほか ~ Zscaler 2026年サイバーセキュリティトレンド

ランキングをもっと見る
PageTop
ホーム 調査・レポート・白書・ガイドライン 調査・ホワイトペーパー 記事
TOP