計測器レンタル、パソコンレンタル、分析機器レンタルのオリックス・レンテック株式会社

計測器・測定器・パソコン等IT機器のレンタル、
リース、中古機器販売、校正受託ならお任せください

IT機器玉手箱

【セキュリティ:その3】日本年金機構を襲った標的型メール攻撃とその対策

【セキュリティ:その3】日本年金機構を襲った標的型メール攻撃とその対策

(2016.03.11公開)

125万件の個人情報流出

 2015年6月に公になった、日本年金機構の約125万件の個人情報流出事件は日本中に大きな衝撃をもたらしました。

 政府機関のサイバーセキュリティ政策を担当するサイバーセキュリティ戦略本部が「日本年金機構における個人情報流出事案に関する原因究明調査結果」(参考資料1)にこの事件(インシデント)の経緯と原因、および反省点をまとめています。それによると、このときのサイバー攻撃の概略は表1のようなものでした。

日付メール件名宛先(件数)
/トラップ
影響
5/8(金)「厚生年金基金制度の見直しについて
(試案)に関する意見」
公開メールアドレス(2)/商用オンラインストレージへのリンクマルウェア(不正プログラム)に感染した端末1台から不審な通信が発生、LANケーブルを抜線し不審な通信は停止
※非公開の個人メールアドレスが窃取された証拠はないが、可能性については否定されていない
5/18(月)給付研究委員会オープンセミナー
のご案内
非公開の個人メールアドレス(98)/添付ファイルマルウェアに感染した端末3台から不審な通信が発生したが、接続先への通信は失敗
5/18(月)~5/19(火)厚生年金徴収関係研修資料非公開の個人メールアドレス(20)/添付ファイル、
商用オンラインストレージへのリンク
不審な通信は発生しておらず、攻撃は失敗
5/20(水)【医療費通知】公開メールアドレス(3)/添付ファイル5/20午後、端末1台から不審な通信が発生、数時間以内に他の6台の端末から不審な通信が発生
その後5/21~23にかけて、上記7台のうち2台を含む計21台の端末から国内のサーバに約125万件の個人情報が流出
5/24以降は不審な通信は発生していない

表1:日本年金機構に対する標的型メール攻撃の概要

 表1を見ると、攻撃者は4回の執拗な攻撃を繰り返し、端末の操作権の奪取に成功すると、その端末を週末に遠隔操作して、奪える限りのデータを窃取していったことが分かります。

標的型メール攻撃とは?

 日本年金機構に対するサイバー攻撃は、標的型メール攻撃と呼ばれるものです。
 情報の窃取や業務妨害などの目的で、特定の標的にメールを送信し、添付ファイルや本文内のURLをクリックさせ、それをきっかけにしてマルウェア(不正プログラム)を攻撃先に送り込む手口です。

 標的型メール攻撃に使用されるメールを標的型攻撃メール(あるいは単に標的型メール)と呼びます。IPA(注1)がまとめた「標的型メール攻撃の例と見分け方」(参考資料2)によれば、標的型攻撃メールのテーマには6つのパターンがあります(表2)。

表2:標的型攻撃メールのテーマ例

メールのテーマ
知らない人からのメールだが、
メール本文のURLや添付ファイルを
開かざるを得ない内容
①新聞社や出版社からの取材申込や講演依頼
②就職活動に関する問い合わせや履歴書送付
③製品やサービスに関する問い合わせ、クレーム
④アンケート調査
心当たりのないメールだが、
興味をそそられる内容
①議事録、演説原稿などの内部文書送付
②VIP訪問に関する情報
これまで届いたことがない
公的機関からのお知らせ
①情報セキュリティに関する注意喚起
②インフルエンザなどの感染症流行情報
③災害情報
組織全体への案内①人事情報
②新年度の事業方針
③資料の再送、差し替え
心当たりのない決裁や配送通知
(英文の場合が多い)
①航空券の予約確認
②荷物の配達通知
IDやパスワードなどの入力を
要求するメール
①メールボックスの容量オーバーの警告
②銀行からの登録情報確認

 表2を見る限りでは、どれも開封し、場合によっては添付ファイルやURLをクリックしたくなるようなものばかりです。

 標的型メール攻撃には見破るための着眼点があり、それもIPAがまとめてくれています(表3)。

表3:標的型攻撃メールを見破る着眼点(※参考資料2を基に作成)

着眼点チェック内容
差出人のメールアドレス①フリーメールアドレスから送信されている
②差出人のメールアドレスとメール本文の署名に記載されたメールアドレスが異なる
メールの本文①日本語の言い回しが不自然である
②日本語では使用されない漢字(繁体字、簡体字)が使われている
③実在する名称を一部に含むURLが記載されている
④表示されているURLと実際のリンク先のURLが異なる(HTMLメールの場合)
⑤署名の内容が誤っている (例1)組織名や電話番号が実在しない (例2)電話番号がFAX番号として記載されている
添付ファイル①ファイルが添付されている
②実行形式ファイルが添付されている
③ショートカットファイルが添付されている
④アイコンが偽装されている (例1)実行形式ファイルなのに文書ファイルやフォルダのアイコンとなっている
⑤ファイル拡張子が偽装されている
(例1)二重拡張子となっている
(例2)ファイル拡張子の前に大量の空白文字が挿入されている
(例3)ファイル名にRLO(右から読むと普通のファイル名に読める)が使用されている

 しかしながら、標的型メール攻撃は次第に巧妙化しており、また日本語のネイティブスピーカーがサイバーテロリスト集団に参加しているといううわさがあり、日本語も自然なものとなってきています。

 したがって表3は、このような特徴があれば標的型メール攻撃の確率が高いとは言えますが、当てはまらないものが増えてきているので(ただし、添付ファイルなどがあるという特徴は変わりません)、完璧に見破る決め手ではなくなってしまいました。

(注1)独立行政法人 情報処理推進機構。日本のソフトウェア分野における競争力の総合的な強化を意図して、IT国家戦略を技術面、人材面から支えるために設立された経済産業省所管の独立行政法人。

標的型攻撃はなぜ恐ろしいのか?

 添付ファイルをクリックするとウイルスに感染したり、本文内のURLをクリックすると悪意のあるサイトに誘導されてしまうサイバー攻撃は以前からあります。しかし最近になって「標的型」と呼ばれて恐れられるようになったのはなぜでしょうか。

 不特定多数への攻撃は、すぐに発覚して対策が講じられます。ウイルス対策ソフトの最新パターンファイルやセキュリティ対策プログラム(セキュリティパッチ)などがその対策例です。
 ところが特定の組織や個人への攻撃は、被害が発生するまで発覚しません。標的型メール攻撃で仕掛けられるマルウェアは、その攻撃のために作成した最新のものであり、感染しても検知されないのです。
 このような攻撃をゼロデイ攻撃と呼んでいます。マルウェア対策が追いつく前に仕掛ける攻撃という意味です。
 日本年金機構の事例を見れば分かるように、感染しても必ずしも実質的な被害をもたらすわけではありませんが、大量の個人情報が流出するような甚大な被害につながることもあります。

 標的型攻撃の他の例としては、ある特定の組織でよく使われるWebサイトを改ざんして最新のマルウェアを仕掛けておく、「水飲み場攻撃」と呼ばれるものがあります。これもゼロデイ攻撃をねらう手口です。

ネットワーク構成に問題はなかったのか?

 標的型メール攻撃は今後も増える傾向にあると予想されています。それへの対抗策のヒントを得るために、日本年金機構にどのような問題があったのか、参考資料1を基に見ていきましょう。

 サイバーセキュリティ戦略本部は、日本年金機構のネットワーク構成を検証しています(図1)。

 図1を見る限りでは、ネットワーク構成に特に問題はありません。企業や団体における一般的な構成だと言えます。業務系のネットワークはインターネットとは直接接続できないようになっており、流出した個人情報は業務系システム側に保管されていました。このような構成も一般的なものです。

図1:日本年金機構のネットワーク構成(概要)

 しかし標的型メール攻撃が成功すると、個人情報は情報系システム側にコピーされて、そこから外部に流出してしまいました。(なお現在では、情報系も外部に直接接続できないようにしています)

つまり一般的な企業におけるネットワーク構成でも、標的型メール攻撃によって重要情報が流出する可能性が十分あるということになります。

日本年金機構にはどのような問題があったのか?

 ネットワーク構成に格別な不備がないとしたら、日本年金機構の根本的な問題点は何だったのでしょうか。

 表1をよく見ると、遅くとも5月18日の時点でしっかりと対応をしていたら、125万件もの個人情報の大量流出は防ぎ得た可能性もあったのではないかと思えます。
 サイバーセキュリティ戦略本部も同様の見解を持っていたようで、日本年金機構の事後対応の不備について参考資料1に言及しています。図2にまとめました(問題点①~③)。

 問題点①~③を見ると、事後対策については、規定・体制・取り組みの3つの観点で問題があったとされています。

 なお「多重防御」とは、内部侵入の早期検知と対策、侵入範囲拡大の難易度向上、および外部との不正通信の早期検知と対策といった、侵入を想定した多段階の準備と対策を施すことを言います。
 標的型メール攻撃が日に日に巧妙になってきている現在、不正なメールだと見分けることが困難になってきました。

 怪しいメールを見分けるためにマニュアルを整備し、従業員教育を実施し、報告を徹底するという事前対策の重要性は変わりません。しかし、それよりもマルウェアの感染が検知されたあとの事後対策のほうがより重要になりました。日本年金機構の個人情報流出は、そのことが明確となった事件でした。

 最近では標的型メール攻撃の可能性があるメールに対して、警告を発するツールが出てきました。またマルウェアの侵入や被害をいち早く検知し、場合によってはシステムの緊急停止や即時復旧を実行するツールもあります。標的型攻撃に対応する体制づくりはもちろんのこと、このようなツールも調査し、導入を検討されることをお勧めします。

(注2)Computer Security Incident Response Team。情報セキュリティインシデント対応チーム。「シーサート」と読む。コンピュータやネットワーク上で主にセキュリティ上の問題が発生していないかを監視し、問題が発生した場合には原因解析や影響範囲の調査を行う組織の総称。
(注3)Chief Information Security Officer。最高情報セキュリティ責任者。企業内で経営層とセキュリティ管理者を仲介して、情報セキュリティを統括する担当役員。


参考資料
1:日本年金機構における個人情報流出事案に関する原因究明調査結果
2:IPAテクニカルウォッチ「標的型攻撃メールの例と見分け方」

【セキュリティ:その4】Webサイト改ざんの方法とその対策

レンタルラインナップ

表示されている金額以外に別途費用がかかる場合がございます。詳しくはお問い合わせください。

IT機器 レンタル

BIG-IP LTM 2000S(F5)

レンタル料(1カ月)

617,900円(税別)

IT機器 レンタル

BIG-IP LTM 800(F5)

レンタル料(1カ月)

322,400円(税別)

IT機器 レンタル

UTM(FORTINET)

レンタル料(1カ月)

27,000円(税別)

レンタル

お見積り・ご質問など、お気軽にお問い合わせください。

お電話でお問い合わせ
(営業時間 平日9:00~17:00)

0120974824
0334738437

ネットでお問い合わせ

お問い合わせフォーム

請求に関するお問い合わせ
(営業時間 平日9:00~17:00)

0367401357※恐れ入りますが、お手元に請求書など、ご請求内容が確認できる書類をご用意の上、お問い合わせください。

ページトップへ