よくぞ出した、NISCの調査報告！

日本年金機構の調査結果報告が公開された8月20日にひっそりと政府のサイバーセキュリティ戦略本部から機構における調査結果が公表された。注目すべき内容に関して記録しておきたい。

8月20日、日本年金機構（以降、機構）より「不正アクセスによる情報流出事案に関する調査結果報告」が発表されましたが、同日サイバーセキュリティ戦略本部（以降、CS本部）からNISC（内閣サイバーセキュリティセンター）が行った調査を下に「日本年金機構における個人情報流出事案に関わる原因究明調査結果」も公開されました。 翌日となる8月21日には、機構の監督官庁である厚生労働省の第三者による情報流出事件検証委員会より検証報告書が公開されました。以前のブログでも紹介したように機構自身の内部調査報告書は赤裸々で貴重な情報が多く含まれていましたが、厚労省第三者委員会からの報告書は、事務局取りまとめをレビューしただけではないかと思われるほど切り口も甘く、良くも悪くも従来の日本の縮図のような報告書だなと思いました。しかし、公的機関による前代未聞の大規模個人情報流出事件であり厚労省も機構に対して徹底調査と報告を求め、同時にサイバーセキュリティ基本法の施行によりNISCも具体的な行動をとることができるようになり、機構並びにCS本部から貴重な報告書が公開されたことは大いに評価できることだと思います。

さて、これまで国家やそれに準ずるレベルの組織が敵と推測される標的型攻撃に対して、政府機関であれ大手民間企業であれ個々の組織体力（予算）で原因究明を徹底的に行うことは費用対効果や調査目的を考えると踏み込めるものではありませんでした。しかし、このNISCの調査結果は様々な知見を得ることができます。関係者では我が国のサイバーセキュリティ能力をさらけ出すことになるし「敵」に対してこちらの手の内を、ある面明かすことになってしまう恐れもあり公開に対しては様々な議論があったのではないかと推測します。しかし、公的費用でやっている以上、一般的に得ることが難しい情報を共有し対策への知見は今後も積極的に公開いただきたいと思います。

サイバーセキュリティ戦略本部発行「日本年金機構における個人情報流出事案に関する原因究明調査結果」を元に、筆者が注釈を追記しています。
特にこの表は機構に対して波状的に繰り出された標的型攻撃メールとその結果としての感染状況や活動状況を調査したものです。当社においても標的型攻撃に関する調査は数多く実施してきましたが対象組織の予算と調査目的の違いからこのように詳細まで調査を行うことは皆無です。政府のサイバーセキュリティ専門機関だからこそ実施できたことだと大変評価しています。サイバーセキュリティ基本法が施行になり、具体的な見える大きな一歩ではないでしょうか。

これを見ると5月8日に発生した標的型メール攻撃の第一波に対しては、一台で開封し感染したにもかかわらず、NISCからの連絡により迅速に行動した結果、防御できています。少し間を置いた5月18日の第二波は三台の感染に成功したものの、その後の活動を犯人側が失敗しています。敵の「探り」の一種だったのかラッキーだったのかはわかりません。次に同じ5月18日から大規模な開始にもかかわらず、この第三波は誰も開封せずに防御は成功しています。しかし5月20日に行われた第四波は昨年から出回っていた標的型攻撃メールと同じという少しレベルの低い攻撃だったのですが一台が感染してしまい、その後の個人情報流出などの被害拡大につながっています。一方、厚生労働省第三者委員会の報告書で明らかになった4月22日の厚労省本体への攻撃はNISCからの連絡で防御しており、それに類似した攻撃が機構に対する5月8日の攻撃であったことも併せて考慮すると、「敵」はNISCや標的になっている組織の能力（監視、分析、対応能力）を確認しながら、手を変えて攻撃を行いその対応を確認しつつ執拗に攻撃を続けることで、防御側を慣れさせ安心させつつ目的を達成しているようも考えられます。

つまり、今回は第四波で侵入を許してしまったのですが、仮にそれを防いだとしても、おそらくは手を変えて攻撃が継続されていたと認識すべきだということになります。当然のことながら、一件落着したように見える現在も事件は継続しているとさえ前提としておくべきものでしょう。そういうことから、今回明らかになった事象は、敵の陽動作戦であり、氷山のほんの一角である可能性すら感じてしまいます。前回のブログでも指摘した通り、「戦争」状態だという認識が必要だということ改めて思った次第です。