Mule - 日本年金機構の情報漏洩

日本年金機構の情報漏洩事件　　…またあいつらだ！
　　　　　　　　　　　　　　　　　… 2015年7月

2015年5月の日本年金機構の情報漏洩事件について、的外れな報道が横行しているように思うので、（セキュリティの専門家じゃないけど）技術者の視点から検討してみた．

情報源は主に関連Webページとテレビ番組だが、6月末時点ではまだ流動的で矛盾した情報が錯綜しているのでリンクは省略した．不明点が多く詳しい事情がわからないので的外れな指摘が多少あるかも．詳細は"日本年金機構情報漏洩"などで検索してね．

◆ 年金システムの概要
年金加入者に関する個人情報はインターネットに接続されてない"基幹系システム"にあり、本来はすべての業務を基幹系だけでおこなうはずのものだ．しかし現在は、業務の一部をインターネットと接続された"情報系システム"で処理している．
報道によると、基幹系システムが未完成だというようなことらしいが、基幹系での使用が面倒だったからという記事もある．（これが主因なのにまだ詳細な報道がない．）
個人情報はDVD-Rなどで基幹系から情報系の共有フォルダに一部をコピーして処理している．郵便物の発送などをおこなっているようだ．

◆ 個別の問題点
では、問題点と対策できたはずの案を列挙してみよう．

添付ファイルをクリックしたらウィルスに感染した
圧縮された添付ファイルを解凍し、その中の実行ファイルを実行したことでウィルスに感染したようだ．
添付ファイルに年金機構限定のパスワードをかけるなり、内容を暗号化するメールソフトを使うなり、いくらでもやりようがあるはず．部署間でやりとりする添付ファイルの形式を限定し（pdfファイルだけというように）、それ以外の圧縮ファイルなどの添付ファイルは開けないように技術的に制限するとよいのでは？

メールに書かれたリンクをクリックしたらウィルスに感染した
特定のサイト以外のリンクをクリックしても開けないように（メールソフトで対応）できないものか？

lzh形式の添付ファイル
lzh形式なんて、何年も前に脆弱性への対応ができないので使用を避けれられている過去の遺物だ．（私がソフトを公開しているVectorでは、新規のlzh形式ファイルの公開は数年前から禁止されている）．lzh形式のファイルは添付・送受信できないようにすべきだ．そうすれば、lzh形式が送られてきた時点で怪しいメールだとわかる．
年金機構のPCでlzhファイルを開くことができたこと自体が奇妙だ．Windows（を使っているとすれば）の標準状態ではlzhファイルは圧縮も解凍もできないはず．利用のためには余分のソフトウェアが必要なのだから、普段からこの形式を使っている可能性があり、そのこと自体が危険だ．

メールに中国語フォントが使われていた
メールの本文中の"組"や"営"などの字体が中国語フォントだった．
目視では見つけにくいので、メールソフトにフォントチェック機能があるべきだな．不審なアドレスから受信しない、自動翻訳で書かれたような不審な文体はチェックする、などの機能も付ければいい．
（こういう機能は、我々が使う通常のメールソフトにも欲しいよね．）

感染したPC1台だけLANケーブルを抜いたが、既に他のPCにも感染後だった
ITの専門家でもない職員が、1台だけのLANケーブルを抜けばOKと判断したことが問題だ．普通の人がそれでOKかどうかなんてわかるわけない．ITアドバイザーのような立場の人間にすぐ相談するというような体制が必要だ．

共有フォルダにパスワードを設定することになっていたが、していなかった
パスワード無しに設定できること自体が間違い．パスワード無しでは業務が遂行できないようにシステムを組み立てるべきだ．
また、全395部署が「パスワード設定完了」と報告していたが、流出したファイルのうち99％以上にパスワードが設定されていなかったということだ．大多数の職員が当然のことのように虚偽報告をするとは、何という恐るべき組織だ．
全国に散らばった職員がほぼ全員虚偽報告をしたということは、お互い連絡を取って示し合わせて実行したということで、組織的なサボタージュであり、まともな社会人ですらない．

データを暗号化していなかった
暗号化しないでも業務が遂行できてしまうこと自体が間違いだ．暗号化したデータしか扱えない処理ソフトを開発して利用すべきだ．（パスワードと暗号化の区別は報道ではあいまいで、同じことをさしているのかどうかは不明）

共有フォルダに置いたデータは、処理が終わったら消すことになっていたが、消さずにためておいたので100万件も流出した
共有フォルダ内の指定日数を過ぎたデータやある程度の件数以上になった場合に、削除しないと運用ができなくなるような仕掛けを作っておけば最小限の被害で済むはず．

基幹系から情報系へのデータの移動をDVD-Rでおこなっていた
なぜDVD-R（CD-ROMという記事もある）なんだ? 今ならセキュリティ付きのUSBメモリのほうが簡単高速安価安全なのに．
DVD-Rでは使うたびにシュレッダーなどで破壊して廃棄する必要があるので、面倒になって一度コピーしたデータを消さずに残しておいたのではないか．

そのDVD-Rを破棄せずに職員が保管していた事例もあった
これも、データの移動をUSBメモリに変えて、USBメモリから情報系へのデータの移動時には、USBメモリ内のデータを消してしまう"移動"のみができる（"コピー"できない）ようにしておくべきだね．

まとめ
このように、技術的に制限できるはず／するべき部分を、運用規則だけでしばっていた上に、それらの規則がことごとく守られていなかったことが被害を拡大した．規則が守られないことを、監査などで発見するような仕組みもないようだ．
ここの職員は情報漏洩の心配など一切してないらしい．これほどまでに規則破りを重ねて、よく業務が遂行できると感心するくらいの無法組織だ．

技術的な観点では、メールソフトなどはアドオンなどで機能追加できるものを使い、上述したようなアドオン機能だけを開発するという手もある．全部は実現できないにしても、要所要所にちょっとしたプログラムを追加するだけでセキュリティ・レベルがかなり上がるはずだ．

システムをこんなにルーズに運用できてしまうように構築した開発会社にも、責任の一端があるだろうな．（そもそも何らかのプログラムを開発をした形跡もなく、OSに初めからあるセキュリティ機能をそのまま規則にしただけなので、"開発会社"など存在しないのかもしれないが．）

そんなわけで問題点を列挙すると、
　・職員の無知と怠慢と悪意
　・職員に仕事をさせる管理者の怠慢
　・技術的防護がほとんど講じられていない欠陥システム
　・危険を指摘する専門家の不在
…ということになるだろう．

◆ 結論
規則を守らない組織を正せ．
規則だけでなく技術で守れ．
早急に基幹系システムに戻せ．

…これらが実行されていれば間違いなく防ぐことができた事件だ．

これだけ技術的な面を検討したら、社会的な問題点も見えてきた．

◆ 情報セキュリティ会社のレポート
今回の事件について検索すると、いくつかのセキュリティ関係会社がこの事件の分析を公開しているが、標的型メールなので防げなかった、などの「漏洩もやむをえない」というような論調が多く、首を傾げざるをえない．
基幹系システムで完全にネットから分離してUSBやDVDによる情報取り出しも不可能にしておけば完全に漏洩が防げる（下記の市役所の例ではそうしている）．しかし漏洩もやむをえないというような見識では、どうせ漏洩を100%防ぐのは無理→対策なんてそこそこでいいや…という風潮を拡大してしまう．

最大の原因は、職員にはそもそも規則を守る気がないし、守らせる仕組みもないことだ．まるで規則破り競争をしているようなこの組織に、規則の強化を提案しても馬の耳に念仏で、効果は期待できない．しかしセキュリティ関係会社の資料には、数々の規則を守っていない職員の怠慢を指摘せず、単なるミスや無知のせいのような扱いで済ませ、規則や訓練を強化すべきという意見が多い．

人間である以上どんなに工夫しても訓練しても誤って操作することはありうる．ましてや組織ぐるみで意図的に規則を曲げて運用しているシステムで、規則や訓練だけでデータ流出を防ごうという考え自体が間違っている．上記の様な技術的に可能な防御を設定した上で、さらに訓練をおこなうのがベストだ．
セキュリティ業界から、もっと技術的な防護を強化すれば防げたはずという指摘がないのは、どうみても事件の本質を見誤っている．こんなことでは今後もこのような漏洩事件はなくならないだろう．

◆ 日本年金機構という組織
前身の社会保険庁時代の数々の不祥事・いいかげんな仕事ぶりや、今回も発表を何週間も遅らせたことなど、この組織の問題は数え切れないほどある．個人的に、年金機構の職員のでたらめな対応にふりまわされた経験がある人を知っているので、この組織の仕事に対する姿勢などに不信感を持たざるをえない．これらを考えあらせると、常識はずれの職員が少なからず存在するのは間違いない．

たまたまパスワードを設定し忘れ、偶然暗号化を忘れ、運悪くDVD-Rを廃棄することも忘れた、などということがあるはずがない．意図的なサボータージュであり、規則破りが常習化していると考えられる．これほどまでに（わざと？）規則を守らない職員に対して、処罰がないのも納得できない．

そんな組織に導入するシステムだからこそ、職員の認識不足や教育不足のせいにしても問題は解決しないし、「運用規則」で情報漏洩を防ごうとしている今の方法は、効果が期待できない．職員がどんな間違いを犯しても漏洩できない強固なシステムを作るべきだろう．

（こんな組織を残しておくことが最大の間違いだが、それはまた別の問題だ．何か深遠な裏事情を感じるが…．）

◆ 報道機関
この問題の本質は、日本が標的型メールに狙われていることなどではなく、年金という巨額の財産がとてもルーズな組織と脆弱なシステムによって運営されていることだ．その視点からの報道が少ないようだ．
そもそも、ネットに接続されていない基幹系で運用していれば起きなかったはずの事件だ．なぜ基幹系で運用してないのか、なぜシステムが未完成のままなのか、などの詳細を報道して欲しいと思う．

テレビでは、ある市役所で同様に住民の情報を守る取り組みも紹介していたが、"基幹系"のみでの運用、日々の訓練など、住民情報をとても慎重に扱っていて安心できるものだった．自治体でできることがなぜ国の組織でできないのだろう．
国民であれば全員強制的に加入させられる政府や自治体の情報は、民間企業よりはるかに強力に守られるべきだ．

今後マイナンバー制度なども控えており、国家機関でこんなずさんな仕事が放置されていることこそもっと問題にすべきだ．国会議員すら「今回もまたアノ組織だ．以前と変わってないじゃないか．」という発言をしている．報道機関も、標的型メールというような目先の事象だけにとらわれず、なぜ規則破りが見過ごされているのかをもっと追求すべきだと思うんだが．

◆ 社会的に見た問題の本質
一部に、年金番号と氏名程度が漏れたくらいで大した問題ではないという意見がある．しかし、ただでさえ足りない年金から、漏洩した年金番号の変更処理などに余分の費用がかかるのだから、問題があるのは明らかだ．その上、既にこの報道を利用した詐欺による被害者もいるそうで、そういった観点からも、個人情報が漏れて良いはずはない．

年金機構では規則破りが常習化しているため、今後もっと重大な過失が起きる可能性がある．しかも、意図的なサボータージュの可能性が報道やセキュリティ企業から出てこないため、事故の発見が遅れたり見逃されたりする危険がある．

何年も前から標的型ウィルス・メールの危険性についての問題が言われているのに、年金機構にはそれに対応すべきアドバイスや監査のできる組織も体制もないようだ．国家機関にこういう仕組みがないのでは、マイナンバー制度も情報漏洩の攻撃にさらされる不安がぬぐいきれない．

全国民の老後がこんな狂った組織に全部握られていることは、放置してよいことではない．機構のさらなる抜本的な改革が必要ではないだろうか．

最大の問題は、年金制度への信頼性がさらに低下して加入者がさらに減少し、年金制度そのものが崩壊することだろう．崩壊しないまでも、まともな運営が望めるのか心配でならない．

もしこれが民間銀行だったら、こんな銀行に預金する人がいるだろうか．新社会人に年金加入の是非を聞かれて（強制加入であることはさておき）、自信を持って「年金は払っておいたほうがいいよ」と勧められるだろうか？

本来、国民が安心して暮らせるようにするための年金制度なのに、繰り返し国民を不安に陥れていることの矛盾を、政府はもっと真剣に考える必要があるだろう．