2015年06月04日

日本年金機構からの情報漏洩。漏れた途端にウイルスと化してパソコンをぶっ壊すとか、できないのかなあ・・・。

年金機構より個人情報が流出した。
流出件数は 件と大規模であり、マイナンバー制度開始を控えた現時点でも、個人情報保護の脆弱性を露呈する形となった。
ニュースの見出しはサイバー攻撃となっており、なんか高度なハッキングを受けたような印象を受けるが、実際はメールに添付されたファイルと開いたとのこと(いわゆる標的型メール)。
http://itpro.nikkeibp.co.jp/atcl/column/14/346926/060300268/


怪しいメールは開かない。
添付ファイルであれば尚更だが、それっぽい名前で、それっぽいファイル名が添付されても(なんとか会議の報告等)、差出人のメールアドレスがヤフー等のフリーメールだったり、添付ファイルの拡張子がexeだったりするものは絶対に開いてはいけない。
しかし、差出人も添付ファイルも違うものに偽装されている場合もあるので、例え気を付けていたとしても100%防げるわけではない。
この手の怪しい添付ファイル付きのメールは、ウイルスソフトやメールクライアントで普通弾かれるのではないかと思ったのだが、新種だったので弾かれなかったこのこと。
攻撃には、遠隔操作ウイルスの「EMDIVI(エムディヴィ)」が使われたと見られるとのこと。


今回の情報流出は、管理規定が守られていなかったり(パスワードの設定等)、なにか作業をした個人情報を外部のネットにつながるところに置き忘れていたり等確かに人的ミスはあったのだろう。
でも、情報のやり取りに専用回線を引くならまだしも、インターネットの回線を使用している以上、繋がっているパソコンのウイルス感染や、情報流出は必ず起こり得るのではないだろうか。
漏らさない対策も重要だが、漏れた後の対策も進め、仮に漏れても大丈夫くらいにしておかないといけないのではないだろうか。
特にマイナンバーなんてネットに繋がっててなんぼだから尚更である。


漏らさない対策として、個人情報を扱う端末や扱う人を制限して外のネットやUSB等の外部記録装置とは繋がらないようにする。
パスワードの管理(ワンタイムパスワード等)、怪しいメールは開かない(そもそも来ないようにする)、機能の制限、ソーシャルエンジニアリング対策がなどが考えられる。


漏れた後の対策としては、感染したパソコンは自動でネットから切り離される。
ファイルの暗号化(使わない時は常に暗号化されており、漏れても数列のみとなる)。
当該サーバー以外に移った場合、一定時間で消える。
自分の保管されている場所を外部に送信しまくる。
ファイル本体に似せた無意味なファイルを量産しまくって、本体を隠す&嫌がらせ。
HDDをぶっ壊すwww
半分は冗談にしても、手に入れられるメリットと釣り合わないほどのリスクがあるようにはできないのだろうか。
それでも暗号解読や消えないような処置をされれば効果はないので、時間稼ぎにしかならないだろうけども。


人間のやることに100%はないし、そんないい加減な人間を最後の砦にすれば必ずやらかす(情報漏洩ではないけども、私もやらかしたことがある)。
今回の対策として、メールに注意しましょうなんて人の教育だけにとどまるようであればきっとまたやるだろう。
セキュリティの強化は利便性と相反する場合がほとんどなので、情報を扱う側と使う側、双方にとって良い落としどころが見つかることを願うばかりである。
具体的な対策ができるまでは導入をやめておくのも一つの手ではある。
一番やっちゃいけないのは、大丈夫だっぺで見切り発車してしまうことだ。


最後に、日本年金機構を名乗る者からの電話がかかってきており、あなたの情報が漏れたから消す必要があるなどいって家族構成を聞き出そうとするそうです。
日本年金機構から電話をすることはまずないので、その電話は十中八九振込詐欺などの不審電話です。
お気を付け下さい。
http://www3.nhk.or.jp/news/html/20150602/k10010101061000.html



posted by topolino at 11:15| Comment(0) | TrackBack(0) | ニュース/時事 | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
コメントを書く
お名前:

メールアドレス:

ホームページアドレス:

コメント:


この記事へのトラックバック
td> td>
×

この広告は180日以上新しい記事の投稿がないブログに表示されております。