自治体の｢セキュリティ対策｣でやりがちなミス ｢総務省ガイドライン｣改定のインパクトは？

（写真：metamorworks/PIXTA）

今や社会基盤へのサイバー攻撃はまれなことではないが、やはり忘れてはならないのが2015年に発生した日本年金機構に対する不正アクセス事案であろう。機構職員が攻撃者から送りつけられたマルウェア付きのメールを開封して端末が感染したことにより、年金加入者の個人情報が約101万人分も窃取されたという、社会に大きな影響を与えた事案である。

サイバー攻撃やセキュリティーの最新動向など、その他の関連記事はこちら

このときに使われたのが、「Emdivi」と呼ばれる遠隔操作型のマルウェアだ。メールに埋め込んだリンクを踏ませる、あるいは添付ファイルを開かせるような巧妙な手段を取る。

これまでは、大量に個人情報を保有する企業がターゲットにされるというのがサイバー攻撃のイメージであったが、日本年金機構の事案は直接国民に脅威が示されたことから、政府や自治体においてのセキュリティ意識を大きく高めたタイミングであったと言えるかもしれない。

自治体でも多い｢人的要因｣による事案

セキュリティ事案は、巧妙な技術的手段によってのみ実行されると思いがちであるが、実のところ人的要因によっての発生が多い。執筆者が所属する大阪大学ではこの数年、セキュリティ事案のトップは「メール誤送信」である。

その主な原因の1つは宛先アドレスの誤りだ。例えば、Microsoft OutlookやApple Mail.appなどのMUA（Mail User Agent）ソフトウェアでは、宛先アドレスを入力する際にアドレスを補完する機能が備わっており、そこから似たようなアドレスが入力されてしまうなどの問題が起きうる。そしてもう1つは、個人情報が格納されたファイル添付によって起きうる情報漏洩である。こうした事案は、どう防げばよいのか。