年金管理システムサイバー攻撃問題

年金管理システムサイバー攻撃問題（ねんきんかんりシステムサイバーこうげきもんだい）とは、外部の不正アクセスによって、日本年金機構の年金情報管理システムサーバから個人情報が流出した問題^[1]。日本年金機構で、大規模な情報流出が明らかになったのはこれが初めてとなる^[2]。

流出の経緯

この問題を日本年金機構が把握したのは2015年5月8日で、コンピュータウイルス対策ソフト会社に解析依頼をしたものの、再度コンピュータウイルスによる不正アクセスを確認し、5月19日に警視庁へ捜査を依頼し、5月28日に警視庁から日本年金機構へ情報流出を知らせた^[3][4]。

厚生労働省や日本年金機構の説明によると、このコンピュータウイルスメールは5月8日から5月18日に、大量に届き、少なくとも2人の職員が開封していた^[5]。1回目の開封は5月8日に、福岡市にある九州ブロック本部の職員が「『厚生年金基金制度の見直しについて（試案）』に関する意見」というタイトルの電子メールの添付ファイルを開けた^[5]。日本年金機構は5月8日、外部からの指摘を受けて、全ての職員に対して、電子メールや職員用の掲示で注意を呼びかけたものの、日本年金機構の幹部の話によれば、「不審なメールには注意するように」と呼びかけを行うのみで、タイトル名やメールの内容、それに、ファイル名などの具体例は記載しなかった^[5]。5月18日に東京にある日本年金機構の本部の職員が、5月8日に受信したメールとタイトル名が異なった添付ファイル付のメールを開いた^[5]。その間、日本年金機構は、個人情報の入ったサーバーと接続するパソコンで、メールなど外部とやり取りをする業務も行っていて、職員のパソコンが部署ごとに情報系システムで結ばれていたのが原因で、少なくとも10数台にウイルス感染が拡大したという^[5]。

内閣サイバーセキュリティセンターが5月8日に厚生労働省を通じて、日本年金機構に対して、不正アクセスの疑いがあると指摘したものの、日本年金機構では、感染が疑われる端末を隔離した上で、セキュリティー会社から「ウイルスを検知するパターンファイルを更新した」との報告を受け、そこで事態が収束したと判断していた^[6]。

流出した年金情報の一部が、東京都港区の会社のサーバから見つかった^[7]。このサーバは、ウイルスを感染させた日本年金機構のパソコンに対して、いろんな命令を出したりして、システムの中にある個人情報を引き出して蓄積するといった目的に使われたとみられ、警視庁では、このサーバが、年金機構の情報の引き出しを行うために、何者かによって悪用されたとしている^[7]。

5月28日の夜、電子掲示板「2ちゃんねる」に「ウイルス感染した」という趣旨の投稿があり、5月29日以降も、「全職員はパスワードを強制的に変更させられました」「月曜日にはウイルス感染を公表するのかな」という趣旨の投稿があった^[8]。

日本年金機構は、厚生労働大臣への報告で「機構のインターネットでのメール通信の遮断は、5月29日」としていたが、実際には、6月4日まで機構と厚生労働省職員の間でインターネットでのメール通信が行われていたことが判明し、機構と厚労省の初動の遅れが被害を拡大させたと指摘されるが、事後対応での情報共有の不備も明らかになっている^[9]。

流出した個人情報の内訳

日本年金機構の発表によれば、職員の端末を通じ、年金情報管理システムに対して、外部の不正アクセスがあって、およそ125万件の個人情報が流出したとされている^[1][10][11]。その流出したとされる個人情報の内訳は、「年金加入者の氏名と基礎年金番号」がおよそ3万1000件、「氏名と基礎年金番号、生年月日」がおよそ116万7000件、「氏名と基礎年金番号、生年月日、それに住所」がおよそ5万2000件だという^[1][10][11]。流出したおよそ125万件のうち、およそ70万件にはパスワードが設定されていたものの、それ以外は設定を行っていなかったため、日本年金機構の内規違反状態の可能性がある^[2][4]。

原因

原因について、日本年金機構の水島藤一郎理事長は「職員が電子メールに添付されたウイルスの入ったファイルを開封したことにより不正アクセスが行われ、情報が流出したものとみられる。」と述べた^[1]。しかし、ある関係者によれば、日本年金機構の職員が偽装されたメールにあった外部リンクのアドレスをクリックして、ファイルをダウンロードしてしまい、そこで、ウイルスに感染した可能性が高いことが6月2日に関係者の話で明らかになった^[6]。

日本テレビでは6月2日、職員に送られた不審なメールの内容を入手し、この中ではメールアドレスがヤフーのフリーメールで、送付されたファイルの名前が「給付研究委員会オープンセミナーのご案内」と書かれてあり、この中にウイルスが入っていた可能性がある別の不審なメールでは、件名を「厚生年金制度の見直しについて（試案）に関する意見」となっていた^[12]。

不審な電子メールに添付されていたコンピュータウイルスは、「EMDIVI」という種類だという見方が、コンピュータセキュリティ関係者の間では有力である^[13]。

パスワードの設定を職員任せにして、チェックが行き届かない運用であったことと、インターネットに接続出来るパーソナルコンピュータで、個人情報のサーバにもアクセスできるコンピュータネットワーク設計だったことが重なり、今回の流出を招いた^[14]。

対応

今回の問題で、日本年金機構では専用の電話窓口を設置した^[15][4]。日本年金機構の専用電話窓口にはこの6月2日8時30分から21時にかけて、12万9937件の問い合わせが殺到し、6月1日17時から21時にかけて問い合わせがあった2万8053件を合わせると15万7990件に達した^[16]。

日本年金機構では警視庁に対して通報し、捜査を依頼^[10][11]。これを受け、警視庁では、不正指令電磁的記録供用容疑とみて、事実関係の確認を開始した^[17][4]。

また、日本年金機構では外部有識者をメンバーに加えた、原因調査・再発防止の為の委員会を設置する^[18][19]。