| 発生・公表時期 | 2015年5月(同年6月に公表) |
|---|
| 種別 | 標的型攻撃(標的型メールによるマルウェア感染) |
|---|
| 対象組織 | 日本年金機構 |
|---|
| 被害規模 | 約125万件の年金情報(基礎年金番号・氏名・生年月日・住所の組み合わせ) |
|---|
| 主な手口 | 業務に関係するような件名のメールに添付・記載されたファイルやリンクを職員が開き、端末がマルウェアに感染。そこから内部に侵入され情報が外部送信された |
|---|
1. 事件の概要
2015年、日本年金機構の職員が使うパソコンが標的型攻撃メールによってマルウェア(ウイルス)に感染し、約125万件の年金加入者情報が外部に流出しました。標的型攻撃とは、不特定多数にばらまくのではなく、特定の組織を狙って巧妙に仕掛けるサイバー攻撃のことです。
攻撃者は、業務に関係しそうな件名・内容のメールを職員に送りつけ、添付ファイルやリンクを開かせました。一度マルウェアに感染すると、そこを足がかりに組織内部のネットワークへ侵入し、保管されていた個人情報を外部のサーバーへ送信していきました。公的機関が狙われ、国民の重要情報が流出したことで社会に大きな衝撃を与えました。
2. 被害の内容と規模
流出した情報は約125万件で、内容により「基礎年金番号+氏名」「+生年月日」「+住所」と漏洩した項目の組み合わせが異なりました。基礎年金番号は本来むやみに変わらない番号のため、流出を受けて対象者の基礎年金番号を変更するという大規模な対応が行われました。
主な影響
- 対象者への通知・基礎年金番号の変更など、膨大な事後対応コストが発生。
- 流出情報を悪用した「年金をかたる不審な電話・郵便」など、二次被害への警戒が必要になった。
- 公的機関の情報管理体制が厳しく問われ、組織体制やセキュリティ対応の抜本的な見直しにつながった。
個人情報は「単体」より「組み合わせ」で価値が上がります。氏名だけより、氏名+住所+番号がそろうほど、なりすましや詐欺に悪用されやすくなります。
3. 原因と手口
攻撃の流れ
- 標的型メールの送付:業務に関係しそうな件名で、職員にウイルス付きのメールが届く。
- 感染:職員が添付ファイルやリンクを開き、端末がマルウェアに感染。
- 内部侵入・情報送信:感染端末を足場に内部へ侵入し、保管されていた個人情報を外部へ送信。
被害を広げた要因
- 個人情報の保管方法:本来アクセスを厳しく制限すべき個人情報が、職員が広く触れられる共有フォルダなどに、十分な保護(パスワード設定など)がないまま置かれていた。
- 初動対応の遅れ:不審な通信などの兆候があったにもかかわらず、組織内での情報共有や端末の隔離といった対応が後手に回り、被害が拡大した。
- 注意喚起の不徹底:不審メールへの注意が職員一人ひとりまで行き届いていなかった。
「メールを開かせない」だけに頼るのは限界があります。開かれても被害を最小限にする(情報の分離・通信の監視・素早い隔離)という多層の備えが欠かせません。
4. 対策と教訓
標的型攻撃は大組織だけの問題ではありません。取引先になりすましたメールは、中小企業にも日常的に届きます。
中小企業でもできる対策
- 不審メールの見分け方を共有する:差出人アドレス、不自然な日本語、心当たりのない添付・リンクを疑う習慣を全員で持つ。
- OS・ソフトを最新に保つ:マルウェアは古い脆弱性を突く。更新(アップデート)を放置しない。
- 重要情報を分けて守る:個人情報や機密は、誰でも見られる共有フォルダに平置きせず、アクセス制限・暗号化する。
- 感染したときの連絡ルートを決めておく:「怪しいものを開いてしまった」とすぐ報告できる雰囲気と窓口をつくる(隠さない文化)。
- 業務ネットとインターネットの分離を検討する:重要データを扱う端末は、用途を分けると被害が広がりにくい。
5. まとめ
日本年金機構の事件は、標的型攻撃という「人をだます」攻撃の典型例であり、同時に「情報の置き方」「初動の速さ」という組織の備えが被害を大きく左右することを示しました。最新のソフト更新、重要情報の分離、そして早く報告できる体制——この3点は、どんな規模の組織でもすぐ着手できる基本です。
※本記事は報道・公表資料など一般に公開された情報をもとに、教育・啓発を目的として再構成したものです。被害件数等は公表時点の数値であり、正確な情報は公式発表をご確認ください。