年金情報はなぜ流出したのか。その経路と問題点を考察

　日本年金機構がサイバー攻撃されて年金受給者や加入者の個人情報約１２５万件が流出した問題で、個人情報は職員がパソコンにダウンロードして保存してあった。

この保存情報が漏れた可能性もあり、専門家からは機構のセキュリティー態勢への疑問が出ている。

ざっくり簡単に言うと

職員が情報をダウンロード保存したPCでインターネットにつなげてメール開いたらウィルス感染しました。

詳細

5月8日に職員がパソコンに届いた電子メールに添付されたファイルを開くと、パソコンがウイルスに感染して外部に個人情報を送り始めた。政府機関への不正アクセスを検知する「内閣サイバーセキュリティセンター」が、この日のうちに不正アクセスに気づき、機構や厚生労働省に知らせた。

（ニュースになったのは6月になってからだったが）

　今回の不正アクセスで流出したとみられるのは

• 基礎年金番号
• 氏名
• 生年月日
• 住所

４種類の個人情報。
　職員のパソコンとはLANで結ばれ、アクセス権限を持つ職員が見ることができる。

情報をパソコンにダウンロードしてファイルで保存することも認められている。

ファイルで保存する場合には原則としてパスワードをかける内規があるが、

今回流出した約１２５万件のうち、４割強にあたる約５５万件はパスワードがかかっていなかった。

　日本年金機構は今回の問題を受けて専用の電話窓口（０１２０・８１８２１１）を設けた。受け付けは、１４日までの午前８時半～午後９時。ほかに全国に３１２カ所ある年金事務所でも自分の情報が漏れたかどうか確認できるという。

問題点

問題点をまとめるとこんな画像になります。

年金の情報サーバーはネットと通じてない独立した情報サーバーだと思いますが、特定のIDとパスワードで年金を管理する人がPCで接続できます。

問題なのはデータを保存したPCでインターネットに繋げること。そして差出人不明のメールを間違えて開けてしまったといったところでしょうか？

そして、差出人不明のメールを見るということですが、これもなかなか巧妙になっています。こちらの画像をご覧ください

元のｐｄｆはこちら

このように社団法人A氏（公式）が社員に送付したメールとA氏になりすましたメールの内容が酷似しており、送信先を見ないと 題名だけでは分からないメールとなっている。

たしかにこれでは間違えてメールを開き添付ファイルをダウンロードしてもおかしくはない.。拡張子もexeではなくpdfなので安心してしまう。

これはA氏がB氏に送り、そのB氏のPCが（前々から？）乗っ取られていたためにメールの内容が窃取されていたようだ。

このことを踏まえると、どのPCが感染しているかわからないので中身をまっさらにしてしまうか、買い替えてしまうほかない。

そして会社内のみ利用でき、情報を外へ持ち出せない。PCを常設してそれでしか仕事ができないようにする。

インターネットに接続できないPCを用意して運営していかないと安全性が高いとはもう言えない。社内ネットワークでしかつなげないようにすれば多少は安全性も上がるだろうか・・・？

そのぐらい徹底した管理が必要となりそうだ。

これからどうなるのか

もし、これが流出だけではなく書き換えなどがあった場合には年金はどうなってしまうのでしょうか？

払ったのに払ってないことになっている。払った分が少ないとなってたらもう大騒ぎです。年金崩壊ってレベルじゃないです。

また、この情報を使って年金詐欺やオレオレ詐欺など年金に対しての不安を煽るような詐欺も横行するでしょう。

「年金の流出が不安でしたら、絶対流出しない！特別サーバーに保存いたします!料金は特別価格１０万円から！資料請求はこちら！」

とかいう電話とか

「今回の情報流出で年金の受取りに手数料がかかるようになりました。正規料金は3０万円ですが、こちらからすぐにお申込みすれば10万円で年金を確実に受け取ることが出来ます」

とかいう電話とかメールとか手紙が届く可能性は大きくなります。（今適当に考えただけだから悪用とかダメだよ）

詐欺師は色々と悪知恵を企んでくると思います。そういった内容のメールや電話に惑わされないように、他の人に相談したりネットで調べたりして第三者の意見を聞きましょう。

そして一刻も早く日本年金機構さんにはセキュリティを強化していただきたいです。