不正アクセスで年金情報125万件が流出か

日本年金機構によりますと、先月8日から18日にかけて、複数の職員のコンピューター端末を通じて、年金情報を管理しているシステムに外部から不正アクセスがあり、少なくともおよそ125万件の個人情報が流出したとみられることが、先月28日に分かったということです。

日本年金機構の職員が「電子メールに添付されたウイルスの入ったファイルを開封したことにより不正アクセスが行われ、情報が流出したものとみられる。」とのことです。

URL 

以下は弊社の見解です。
この職員のコンピューター端末がウイルス対策ソフトを導入していたとすれば、この攻撃は、いわゆるゼロデイ攻撃だったのかもしれません。


しかし、問題の本質は、
攻撃者の不正アクセスにより
重要なシステムにアクセスを許してしまったということだと思います。
このような不正アクセスの問題に関しては、重要なシステムに対して、
例えばFIDOの強固な認証に基づいたアクセスコントロールを行っていれば、
ここまでの事態にはならなかったのではないかと思うと、非常に残念です。

弊社が以前より提案していることは以下の通りです。
「ウイルス対策ソフト、安全なネットワーク設計、社員教育」等のセキュリティ対策は、重要であると思います。しかし、これらの対策が完全なものではなく、破られる可能性があるということを前提として、「重要な情報が集積されているサーバ、サービスへの不正アクセスをどのように対策するか」ということを考えたほうが良いということです。
そのために、FIDOに基づいた認証を弊社としては提案していきたいと思います。