サイバー攻撃やITに関係する事件が、日々世間を賑（にぎ）わせています。多くの場合、それは報道という形で私たちの耳に入ってくるわけですが、次から次に報じられる新しいニュースに流され、どんな大きな事件もいつの間にか忘れられてしまいがちです。

つらい事件の記憶が薄れるのは、ある意味では正しいのかもしれません。しかし、事件から得た教訓まで忘れてしまってはいけません。そこで今回は、皆さんもきっと名前だけは覚えているであろう過去の事件と、事件が世間の記憶から消えそうになる頃に発表された「報告書」に着目したいと思います。

「標的型攻撃」の典型例となった、日本年金機構の不正アクセス問題

まずは2015年5月に明るみに出た、日本年金機構のインシデントから見ていきましょう。日本年金機構のネットワーク内にマルウェア「Emdivi」が侵入し、遠隔操作が行われた事件です。この事件は「職員が自分宛てに届いたメールの不審に気付かず、添付されたマルウェアのファイルをクリックしてしまった」という、マルウェア侵入のきっかけが話題になりました。

この事件は、いわゆる「標的型攻撃」の典型的な事例として、現在でもたびたび言及されます。事件の後、日本年金機構と厚生労働省、内閣サイバーセキュリティセンター（NISC）の3機関から報告書が公開されました。

日本年金機構における不正アクセスによる情報流出事案について（日本年金機構）

日本年金機構における不正アクセスによる情報流出事案について （厚生労働省）

日本年金機構における個人情報流出事案に関わる原因究明調査結果（NISC）

これらが公開された当時、その詳細な内容に驚いたものです。例えばNISCの調査結果においては、攻撃が2015年5月8日に始まり、波状攻撃を受け続けて侵入を許した後に、ネットワーク内で感染を広げた様子がチャートの形で表現されています。

このチャートだけでも、学ぶべき点は多いのではないでしょうか。また、同報告書の「今回のサイバー攻撃の特徴と対策」や「本部及び NISC がとるべき再発防止対策」には、組織がとるべき対策がリストアップされています。これは大変有用な資料です。このインシデントが発生したのは2015年ですが、現在においても、同じような攻撃に対して弱点を抱える組織は多いかもしれません。

日本年金機構情報漏えい事件でも悪用された「盲点」とは：セキュリティのアレ（6） - ＠IT

よくぞ出した、NISCの調査報告！ | セキュリティ対策のラック