日本年金機構の情報漏えいについてまとめてみた（piyolog）

今回はKangoさんのブログ『piyolog』からご寄稿いただきました。
※すべての画像が表示されない場合は、https://getnews.jp/archives/1019645をごらんください。

日本年金機構の情報漏えいについてまとめてみた（piyolog）

2015年6月1日、職員PCがマルウェアに感染したことにより、情報漏えいが発生したことを日本年金機構が発表しました。ここでは関連情報をまとめます。

公式発表

《日本年金機構》
・「日本年金機構の個人情報流出について(PDF)」 2015年6月1日
http://www.nenkin.go.jp/n/data/service/0000150601ndjIleouIi.pdf

・「個人情報流出のお詫び – 日本年金機構 理事長 水島藤一郎 (平成27年6月2日)(PDF)」 2015年6月3日
http://www.nenkin.go.jp/n/data/service/0000150602dkeowvbsqq.pdf

・「個人情報流出の報道発表を悪用した不審な電話等にご注意ください！(PDF)」 2015年6月3日
http://www.nenkin.go.jp/n/data/service/0000150603doePlqwWcs.pdf

・「日本年金機構の個人情報が流出したお客様へのお詫びについて(PDF)」 2015年6月3日
http://www.nenkin.go.jp/n/data/service/0000150603ddieLmeUbc.pdf

・「日本年金機構ホームページの一時停止について(PDF)」 2015年6月6日
http://www.mhlw.go.jp/file/04-Houdouhappyou-12501000-Nenkinkyoku-Soumuka/0000088266.pdf

・「日本年金機構ホームページの暫定対応について(PDF)」 2015年6月8日
http://www.nenkin.go.jp/img/0000150608houdou.pdf（※現在、閲覧できません。）

・「日本年金機構の個人情報が流出したお客様へのお詫びについて(PDF)」 2015年6月22日
http://www.nenkin.go.jp/n/data/service/0000028648uArRENS1eQ.pdf

・「ホームページ再開のお知らせ(PDF)」 2015年6月22日
http://www.nenkin.go.jp/n/data/service/0000028647Ab2yrVg8PT.pdf

《厚生労働省》
・「日本年金機構の個人情報流出について」 2015年6月3日
http://www.mhlw.go.jp/kinkyu/150603.html

・「日本年金機構への不正アクセス事案に関するＱ＆Ａ(PDF)」 2015年6月3日
http://www.mhlw.go.jp/kinkyu/dl/150603-01.pdf

・「日本年金機構不正アクセス事案検証委員会の設置について(PDF)」 2015年6月4日
http://www.mhlw.go.jp/kinkyu/dl/houdouhappyou_150604-01.pdf

・「第１回 日本年金機構不正アクセス事案検証委員会（開催案内）(PDF)」 2015年6月5日
http://www.mhlw.go.jp/kinkyu/dl/houdouhappyou_150605-01.pdf

・「日本年金機構不正アクセス事案検証参与の任命について(PDF)」 2015年6月16日
http://www.mhlw.go.jp/kinkyu/dl/houdouhappyou_150616-01.pdf

・「第２回日本年金機構不正アクセス事案検証委員会（開催案内）(PDF)」 2015年6月17日
http://www.mhlw.go.jp/kinkyu/dl/houdouhappyou_150617-01.pdf

《サイバーセキュリティ対策推進会議（CISO等連絡会議）》
日本年金機構の件を受けて緊急開催された。

・「サイバーセキュリティ対策推進会議（CISO等連絡会議）(第3回)議事次第(PDF)」 2015年6月1日
http://www.nisc.go.jp/conference/cs/taisaku/ciso/dai03/pdf/03gijishidai.pdf

・「資料１ 日本年金機構の個人情報流出について(PDF)」 2015年6月1日
http://www.nisc.go.jp/conference/cs/taisaku/ciso/dai03/pdf/03shiryou01.pdf

・「資料２ 点検及び再発防止策の徹底等について 平成27年6月1日 サイバーセキュリティ対策推進会議議長指示(PDF)」 2015年6月1日
http://www.nisc.go.jp/conference/cs/taisaku/ciso/dai03/pdf/03shiryou02.pdf

《企業年金連絡協議会》
・「緊急のお知らせ」 2015年6月3日
http://www.cpn.gr.jp/

・「緊急のご連絡（平成27年6月5日）」 2015年6月5日
http://www.cpn.gr.jp/

概要

現在判明している情報を絵にまとめると次の通り。

（画像が見られない方は下記URLからご覧ください）
https://px1img.getnews.jp/img/archives/2015/06/20150604010839.jpg

タイムライン

《インシデント関係》

（日時 / 出来事）
・2015年5月8日 10時28分 / 日本年金機構 九州ブロック本部に対して不審なメールが届く(不審メール1回目)
・2015年5月8日 10時49分 / 九州ブロックの職員一人が不審メールのURLをクリックし、マルウェアをダウンロード・感染
・2015年5月8日 10時50分頃 / 日本年金機構から不正通信が開始。
・2015年5月8日 / NISCが不審な通信を検知し、厚生労働省 情報担当参事官室に連絡。*1

*1：「【衆院厚労委】「年金制度存立危機事態と言ってもいい」玉木議員が指摘」 2015年6月3日 『民主党』
http://www.dpj.or.jp/article/106838/【衆院厚労委】「年金制度存立危機事態と言ってもいい」玉木議員が指摘

・2015年5月8日 / 厚生労働省年金局から日本年金機構に連絡。
・2015年5月8日 / 日本年金機構の通信システムから不正アクセスの記録を確認。
・2015年5月8日 15時25分 / 感染端末1台をネットワークから隔離
・2015年5月8日 20時7分 / 日本年金機構が全職員に対して注意喚起（1回目)
・2015年5月8日 / 日本年金機構 理事長へ報告。
・2015年5月9日 / ウィルス対策ソフトの既知のパターンシグネチャでは検出できないことが判明
・2015年5月11日 / 日本年金機構が厚生労働省へ報告
・2015年5月12日 / 日本年金機構内全端末のウィルス対策ソフトを更新。(1回目)
・2015年5月15日 / ウィルス対策ベンダが外部に情報漏えいするタイプではないと解析結果を報告*2

*2:「年金機構：サイバー攻撃３日間　感染ＰＣネット遮断遅れ」 2015年6月4日 『毎日新聞』
http://mainichi.jp/select/news/20150605k0000m040082000c.html

・2015年5月18日 9時51～52分 / 複数の職員に対して不審なメールが届く(不審メール2回目)
・2015年5月18日 午後 / 複数の職員に対して不審なメールが届く(不審メール3回目)
・2015年5月18日 / 日本年金機構が全職員に対して注意喚起(2回目)
・2015年5月18日 / 東京本部の職員一人が開封・感染し、日本年金機構へ不正アクセスが行われる。
・2015年5月19日 / 日本年金機構が警視庁高井戸署へ捜査依頼
・2015年5月19日 / 警視庁公安部が捜査を開始*3

*3:「日本年金機構、個人情報約125万件流出　パスワード未設定も」 2015年6月2日 『FNN』
http://www.fnn-news.com/news/headlines/articles/CONN00293741.html

・2015年5月19日 午後 / 複数の職員に対して不審なメールが届く(不審メール4回目)
・2015年5月20日 / 複数の職員に対して不審なメールが届く(不審メール5回目)
・2015年5月21日～23日 / 日本年金機構 人事管理部の端末2台から外部へ大量の通信が発生。*4

*4：「年金情報流出、警察に相談後も感染か　対応後手で拡大」 2015年6月4日 『日本経済新聞社』
http://www.nikkei.com/article/DGXLASDG04H3R_U5A600C1MM0000/

・2015年5月22日 / 日本年金機構内全端末のウィルス対策ソフトを更新。(2回目)
・2015年5月22日 / NISCが厚生労働省へ不正な通信を検知したと連絡
・2015年5月22日 / 機構内端末2台でマルウェアの感染を確認
・2015年5月22日 / 日本年金機構が不正通信を確認した地域ブロック本部のインターネット接続を遮断
・2015年5月23日 / システム管理会社(NTTデータ)から日本年金機構から不正な通信が発生していると連絡。*5

*5：「３日間　外部へ不審通信　年金情報流出」 2015年6月5日 『東京新聞』
http://www.tokyo-np.co.jp/article/national/news/CK2015060402000253.html

・2015年5月23日 / 機構内端末19台でマルウェアの感染を確認。
・2015年5月23日 / 不正通信を発信している部署のインターネット接続を遮断
・2015年5月25日 / 日本年金機構が全職員に対して注意喚起(3回目)
・2015年5月25日 / 機構内端末1台でマルウェアの感染を確認
・2015年5月25日 / 厚生労働省 担当課長、審議官に当該事案の情報が伝わる。
・2015年5月26日 / 機構内端末4台でマルウェアの感染を確認
・2015年5月27日 / 日本年金機構内全端末のウィルス対策ソフトを更新。(3回目?)
・2015年5月28日 / 警視庁が日本年金機構へ当該事案に関する連絡が行われる。
・2015年5月28日 18時43分 / ２ちゃんねるへ当該事案関連と思われる書き込みが行われ始める。
・2015年5月28日 夕方 / 日本年金機構が関係各所(総務省等)へ第一報を連絡
・2015年5月29日 昼 / 日本年金機構が関係各所へ概要を報告。
・2015年5月29日 / 日本年金機構が当該事案を受け、全機構内からのインターネット接続を遮断
・2015年5月29日 / 官房長官が徹底調査を指示。
・2015年5月30、31日 / 官房長官が流出全容の把握を指示し、NISCの緊急対応支援チームを派遣。*6

*6：「年金情報流出：「漏れた年金」野党追及」 2015年6月3日 『毎日新聞』
http://mainichi.jp/select/news/20150603k0000m010086000c.html

・2015年6月1日 / 日本年金機構が情報漏えいについて発表。
・2015年6月3日 / 厚生労働省が日本年金機構の情報漏えいについて見解を発表。
・2015年6月3日 / 漏えいした年金加入者へ通知文の発送を開始。*7

*7：「年金情報流出：おわび文書の発送始める　日本機構」 2015年6月3日 『毎日新聞』
http://mainichi.jp/select/news/20150604k0000m040084000c.html?inb=ra

・2015年6月3日 / 日本年金機構が理事長名でお詫びを掲載。
・2015年6月6日 15時半頃 / 外部より日本年金機構のWebサイトに脆弱性があると連絡を受けたことにより一時閉鎖
・2015年6月8日 17時36分 / 日本年金機構のWebサイトが暫定公開。
・2015年6月22日 / 日本年金機構が個人情報漏えいの詳細について発表。
・2015年6月22日 / 日本年年金機構のWebサイトが復旧。

《国・政府関係》

（日時 / 出来事）
・2015年6月1日 / 安倍首相が厚生労働省に年金受給者のことを第一に考え、万全を期すよう指示したと記者会見で回答*8

*8：「首相「年金受給者を第一に考え厚労相に指示」」 2015年6月1日 ,『産経新聞』
http://www.sankei.com/politics/news/150601/plt1506010031-n1.html

・2015年6月1日 / 厚生労働相が当該事案を受け記者会見。*9

*9：「厚労相「誠に遺憾」　年金支払いに影響でないよう指示　省内に第三者委員会で検証」 2015年6月1日 『産経新聞』
http://www.sankei.com/life/news/150601/lif1506010028-n1.html

・2015年6月1日 / 社会保障・税改革担当相がマイナンバーへの影響はないと当該事案による影響を否定。*10

*10：「マイナンバーへの懸念を否定＝年金情報流出で―甘利担当相」 2015年6月1日 『時事通信』
（※ 現在、ページは表示できません）

・2015年6月1日 / 総務相が住民基本台帳ネットワークへの不正アクセスはなかったと発表。*11

*11：「住基ネットは安全確認＝高市総務相」 2015年6月1日 『時事通信』
http://www.jiji.com/jc/zc?k=201506/2015060100771&g=eco

・2015年6月1日〃 / 政府でサイバーセキュリティ対策推進会議が開催され当該事案に関する報告・指示が行われる。
・2015年6月2日 / 民主党が通常法案の審議は当該事案の区切りがつくまで出来ないと記者会見で回答。*12

*12：「民主 区切りつくまで通常法案審議できない」 2015年6月2日 『NHK』（※ 現在、ページは表示できません）
http://www3.nhk.or.jp/news/html/20150602/k10010100341000.html

・2015年6月2日 / 公明党、野党各党が日本年金機構、警察庁、厚生労働省等を対象にヒアリング。
・2015年6月3日 / 官房長官が記者会見でサイバーセキュリティ戦略の見直しを発表。*13

*13：「サイバーセキュリティ戦略」見直しへ」 2015年6月3日 『NHK』（※ 現在、ページは表示できません）
http://www3.nhk.or.jp/news/html/20150603/k10010102051000.html

・2015年6月3日 / 衆院厚生労働委員会において当該事案に関する集中審議*14

*14：「年金情報流出で国会集中審議　対応遅れ、厚労省を追及」 2015年6月3日 『東京新聞』
http://www.tokyo-np.co.jp/article/national/news/CK2015060302000263.html

・2015年6月4日 / 厚生労働省に第三者委員会「日本年金機構不正アクセス事案検証委員会」が設置。
・2015年6月5日 / 防衛相が防衛分野の情報は確認されなかったと報告。*15

*15：「防衛情報流出、確認されず＝中谷氏」 2015年6月5日 『時事通信』
http://www.jiji.com/jc/zc?k=201506/2015060500194

・2015年6月8日 / 日本年金機構不正アクセス事案検証委員会 第1回会合開催*16

*16：「年金情報流出で有識者検証委が初会合」 2015年6月8日 『NHK』（※ 現在、ページは表示できません）
http://www3.nhk.or.jp/news/html/20150608/k10010107081000.html

・2015年6月8日 / 衆院決算行政監視委員会で厚労相が現在補償の考えは持っていないことを回答。*17

*17：「年金詐欺で被害、厚労相「補償考えてない」　情報流出」 2015年6月9日 『朝日新聞』
http://www.asahi.com/articles/ASH685Q8DH68UTFL00J.html

・2015年6月16日 / 厚生労働省が事案検証参与の任命を発表。

《便乗詐欺関連》

（日時 / 出来事）
・2015年6月2日 / 警察庁が全国の警察へ不審な電話が確認されているとして便乗詐欺について注意を通知。*18

*18：「年金情報の流出 初動対応などを検証へ」 2015年6月25日 『NHK』
http://www3.nhk.or.jp/news/html/20150625/k10010127771000.html

・2015年6月3日 / 消費者庁長官が詐欺電話について注意を呼びかけ。*19

*19：「年金情報流出で不審電話 注意喚起へ」 2015年6月3日 『NHK』（※ 現在、ページは表示できません）
http://www3.nhk.or.jp/news/html/20150602/k10010101061000.html

・2015年6月3日 / 国民生活センターが便乗詐欺電話について注意喚起
・2015年6月3日 / 日本年金機構が当該事案に便乗した詐欺電話に関する注意喚起を発表。
・2015年6月4日 / 金融庁が金融機関へ当該事案に便乗した不正防止を要請したことを発表。

被害詳細

《マルウェアの感染状況》
発表・判明している感染状況は27台の端末。尚、職員の端末にはウィルス対策ソフト(McAfeeの可能性有り)が導入されていたが検知されなかった。*20

「間接業務システム設備等の賃貸借及び保守業務」調達仕様書（案）に対する意見招集の結果について(PDF)」 『日本年金機構』
http://www.nenkin.go.jp/n/open_imgs/district/0000010200mPpvDveY2n.pdf

*20：消費者庁が注意呼び掛け　「個人情報消す」はうそ」 2015年6月3日 『産経新聞』
http://www.sankei.com/economy/news/150603/ecn1506030039-n1.html

（感染部署 / 台数 / 感染確認日 / 感染原因）
九州ブロック本部(福岡県)*21 / 端末1台 / 2015年5月8日 / 2015年5月8日に届いたマルウェア付メールを開封したことによる

*21：「年金情報流出：内規違反　５５万件にパスワード設定されず」 2015年6月1日 『毎日新聞』
http://mainichi.jp/select/news/20150602k0000m040117000c.html

九州ブロック本部 / 端末2台 / 2015年5月22日 / 詳細不明　1台は感染後職員に新たに貸与された端末
東京本部 / 人事管理部*22 / 端末19台 / 2015年5月23日 / この内2台から大量の通信が発生。

*22：「年金個人情報１２５万件流出…職員がメール開封」 2015年6月1日 『読売新聞』
（※ 現在、ページは表示できません）

東京本部 / 人事管理部 / 端末1台 / 2015年5月25日 / 詳細不明
東京本部 / 人事管理部 / 端末4台 / 2015年5月26日 / 詳細不明

《日本年金機構のファイル共有サーバー内の情報が流出》
・あるフォルダとその配下のサブフォルダ、ファイル一式が窃取された。AccessやExcelファイルが格納されている。*23

*23：「年金機構、ウイルス感染は本部の人事管理部に集中」 2015年6月5日 『TBS』
http://news.tbs.co.jp/newseye/tbs_newseye2510014.html

・日本年金機構は加入者の個人情報以外の漏えいを否定。*24

*24：「［続報］日本年金機構、ファイル共有サーバーを5年以上前から運用」 2015年6月3日 『ITpro』
http://itpro.nikkeibp.co.jp/atcl/news/15/060201844/

《漏えいした内容・件数》
日本年金機構は6月1日時点で基礎年金番号、氏名、生年月日、住所の全て、またはいずれかが含まれる合計125万件が流出したと考えられると発表。

・125万件は現時点で把握している件数であり、想定される最大の流出件数把握していない。
・4つの情報すべてが含まれる380個のファイルには重複を除くと約1.6万人が含まれていた。*25

*25：「年金機構、４情報以外の流出否定　謝罪文書を発送へ」 2015年6月4日 『朝日新聞』
http://www.asahi.com/articles/ASH636D42H63UCLV00G.html

漏えいした情報がどのように管理されていたか(ファイル形式や数等)は日本年金機構は公式発表では明らかにしていないがメディアからはその内訳、パスワードの設定状況などが報じられている。*26 *27 *28

*26：「年金情報流出、件数拡大も　衆院委で集中審議」 2015年6月4日 『日本経済新聞社』
http://www.nikkei.com/article/DGXLASFS03H5T_T00C15A6EA1000/

*27：「年金情報、流出は東京・和歌山など３センター分」 2015年6月6日 『朝日新聞』
（※ 現在、ページは表示できません）

*28：「年金情報流出、ＰＷ設定１％未満　ずさんな管理浮き彫り」 2015年6月6日 『朝日新聞』
http://www.asahi.com/articles/ASH643D4LH64UTFL004.html

（画像が見られない方は下記URLからご覧ください）
https://px1img.getnews.jp/img/archives/2015/06/20150607032514.jpg

尚、個人情報が記録されたファイルの取り扱いについては次のルールが定められていた。

・ファイル共有サーバーへは個人情報が記録されたファイルは原則格納禁止
・格納が必要な場合は、アクセス制限やパスワード付与の設定が必要
・どのような個人情報ファイルを格納したのか総務部へ連絡が必要

《日本年金機構内 基幹システムへの被害有無》
・日本年金機構は2015年6月1日発表時点で不正アクセスは確認されていないが現在精査中であると発表している。
・物理的に接続した状態にあるが、設定上は通信ができる状態になっていない。*29

29：「年金情報流出：沖縄、和歌山、東京…３カ所の情報が流出」 2015年6月6日 『毎日新聞』
http://mainichi.jp/select/news/20150606k0000m040149000c.html

《基幹システム（社会保険オンラインシステム）からファイル共有サーバーへ個人情報を格納する業務》
・ファイル共有サーバーは全国、ブロック、県、拠点と階層構造になっている。
・ファイル共有サーバーには基幹システムからCD、DVDなどを通じて抽出した個人情報が保存されていた。
・抽出した理由はある業務(連絡・通知を目的とする年金加入者リストの作成・送付等*30 )で使用するため。

*30：「GW直後より感染繰り返すも漏洩気が付かず – 日本年金機構」 2015年6月3日 『Security NEXT』
http://www.security-next.com/058958

・少なくとも2010年1月の機構発足当時からこの業務は行われていた。
・全国的に統一して行われる業務の場合、機構本部が一括して情報を取得、その後共有フォルダに移し、各事務センターでインターネットを介してダウンロードが行われていた。*31

*31：「年金情報、ダウンロードした職員ＰＣから流出か」 2015年6月3日 『朝日新聞』
http://www.asahi.com/articles/ASH6263LGH62UTFL00H.html

《情報漏えいの流出先》
・東京都港区の海運業者のサーバーに漏えいした個人情報の一部が保存されていた。*32

*32：「年金機構 ネット接続のシステム介し情報コピーも」 2015年6月18日 『NHK』（※ 現在、ページは表示できません）
http://www3.nhk.or.jp/news/html/20150617/k10010118061000.html

・2015年5月19日に被害相談を受けた警視庁が捜査を進めたことにより判明。*33
*33：「年金個人情報流出 都内会社サーバー経由か」 2015年6月3日 『NHK』（※ 現在、ページは表示できません）
http://www3.nhk.or.jp/news/html/20150602/k10010100911000.html

《不審メール・不正アクセスの詳細》
・感染した端末を通じてファイル共有サーバーに対して不正アクセスが行われた。
・日本年金機構に届いた不審メールのパターンはメールアドレスやタイトルを組み合わせ*34して少なくとも5種類が確認されている。*35

*34：「流出情報、都内企業サーバーに…遠隔で悪用か」 2015年6月3日 『読売新聞』（※ 現在、ページは表示できません）
http://www.yomiuri.co.jp/error.html?rUri=%2Fyol%2Fnational%2F20150603-OYT1T50015.html

*35：「年金情報流出 非公開アドレスに100通のメール」 2015年6月4日 『NHK』（※ 現在、ページは表示できません）
http://www3.nhk.or.jp/news/html/20150604/k10010102751000.html

・不審メールの内、2つのメール（「給付研究委員会オープンセミナーのご案内」と「厚生年金基金の見直しについて（試案）に関する意見」）は企年協Webサイトに掲載されている文面が利用されていたことが判明している。*36

*36：「５種類のタイトルの電子メールで感染ねらう」 2015年6月3日 『NHK』（※ 現在、ページは表示できません）
http://www3.nhk.or.jp/news/html/20150603/k10010101301000.html

《不審メールを受信した日本年金機構の部署・メールアドレス》
・報道によれば不審メールと受信した部署、通数などは次の通り。*37

*37：「年金サイバー攻撃、実在団体の文章に酷似　周到に準備か」 2015年6月5日 『朝日新聞』
http://www.asahi.com/articles/ASH65023DH64UTFL014.html

（受信日 / 受信部署 / 件名 / 攻撃方法 / 通数）
・2015年5月8日 10時28分 / 日本年金機構 九州ブロック本部(外部調達用アドレス*38 *39 ) / 「厚生年金基金制度の見直しについて（試案）」に関する意見 / URL型 / 3通

*38：「新種ウイルス、送信者「竹村」　感染源福岡、ＰＣ２７台に拡大　年金情報流出」 2015年6月5日 『朝日新聞』
http://www.asahi.com/articles/photo/AS20150605000436.html

*39：「年金情報流出、公開の調達情報アドレスから感染」 2015年6月2日 『読売新聞』
（※ 現在、ページは表示できません）

・2015年5月18日 9時51、52分 / 非公開アドレス*40 / 給付研究委員会オープンセミナーのご案内 / ファイル(LZH)添付型 / 100通

*40：「調達情報 | 九州ブロック本部 入札公告」 『日本年金機構』
http://www.nenkin.go.jp/n/www/district/result.jsp?genre2=56

・2015年5月18日 午後 / 非公開アドレス / 厚生年金徴収関係研修資料 / ファイル(LZH)添付型17通
・2015年5月19日 午前 / 非公開アドレス / 厚生年金徴収関係研修資料 / URL型1通
・2015年5月20日 午後 / 公開アドレス / 【医療費通知】 / ファイル(LZH)添付型3通

以下は日本年金機構が注意喚起を行った際に取り上げられていた不審メールの4つの例。*41 *42

*41：「日本年金機構への標的型メール、複数の職員を直接攻撃」 2015年6月3日 『ITpro』
http://itpro.nikkeibp.co.jp/atcl/news/15/060301870/

*42：日本テレビ NewsZEROより,2015年6月2日視聴

《不審メール (1)》

受信日：2015年5月8日 午前
通数：3通
件名：「厚生年金基金制度の見直しについて（試案）」に関する意見
差出人：＊＊＊＊@yahoo.co.jp（フレンドリー名不明）
URL記載：Yahoo!ボックスのＵＲＬが記載
本文：＊＊　＊＊様
5月1日に開催された厚労省「厚生年金基金制度の関する専門委員会」(以降読み込めず)
では、厚生年金制度廃止の方向性を是とする内容が提出されました(以降読み込めず)
を受けて、企年協では「厚生年金基金制度の見直しについて（試案）に(以降読み込めず)
意見」を、5月5日に厚労省年金局企業年金国民年金基金の＊＊課長に(以降読み込めず)
たしました。
添付ファイルをご覧ください。

・Yahoo!ボックスはYahoo!Japanが運営するオンラインストレージサービス。
・厚生省のWebサイトに掲載されている名称が同じ文書が存在する。

《不審メール (2)》

受信日：2015年5月18日 午前
通数：100通
件名：給付研究委員会オープンセミナーのご案内
差出人：＊＊＊＊@yahoo.co.jp（フレンドリー名不明）
添付ファイル名：給付研究員会オープンセミナーのご案内.lzh
本文：＊＊　＊＊　様
平成27年5月に＊＊大学と企年協が共同で実施いたしました企業年金アンケート結果の報告会と意見交換会を下記の通り実施いたします。
アンケートの集計結果に基づく報告会は、今後の企業年金の方向性を考えるうえでも、基金関係者にとって大いに参考になると思います。

会員の皆様の積極的なご参加をお願い申し上げます。

お申し込みは添付資料をクリックしてください。

《不審メール (3)》

受信日：2015年5月18日 午後、2015年5月19日 午後
通数：18日：17通、19日：1通
件名：厚生年金徴収関係研修資料
差出人：（読み取れず）
添付ファイル名：厚生（以降読み取れず）
本文：（読み取れず）

《不審メール (4)》

受信日：2015年5月20日 午後
通数：3通
件名：【医療費通知】
差出人：健康保険組合運営事務局 ＊＊＊＊@excite.co.jp
添付ファイル名：医療費通知のお知らせ.lzh
検体情報：5e3ec0d77c21fc20811590ad6e34ad2726c48b3926c5e839e58969fa84886002
9ae4ca606f3eeeb138901683237b29aaff75cfa48555f1630600e844fa9c5f88
本文：）本メールは、保険を利用して診察や診療を受けられた方に、医療費をお知らせしています。

）Windows-PCで開けてください。

不正アクセス元に関する情報

・使用されていたマルウェアが昨年末に確認された医療費通知偽装と同じ種類であったことから、「CloudyOmega」攻撃の実行グループ関与の疑いがあると報道。*43

*43：「年金情報流出：不審メール４種類　件名周知、感染１７日後」 2015年6月3日 『毎日新聞』
http://mainichi.jp/select/news/20150603k0000e040209000c.html

昨年末確認された標的型攻撃は次の場所にまとめています。

「医療費通知の偽装メールについてまとめてみた」 2014年11月07日 『piyolog』
http://d.hatena.ne.jp/Kango/20141107/1415370890

「一太郎の脆弱性 CVE-2014-7247の関連情報をまとめてみた。」 2014年11月13日 『piyolog』
http://d.hatena.ne.jp/Kango/20141113/1415901362

原因

・日本年金機構の職員が電子メールに添付されたファイルを開封、あるいはURLからダウンロードしたファイルを実行？*44したためマルウェアに感染し、当該端末を通じて機構内が保有する個人情報が流出した。

*44：「また攻撃グループ「クラウディオメガ」が関与か」 2015年6月2日 『読売新聞』
（※ 現在、ページは表示できません）

《1台目の感染端末を対処して対応終了とした理由》
・1台目の端末感染について、情報セキュリティ会社へパターンファイル更新の連絡を受け、事態収束と判断してしまった。*45

*45：ドライブバイダウンロードの可能性もあるがURLから感染までの詳細は報じられていない

発端

・2015年5月8日にNISCが厚生労働省に通報*46し、その連絡により機構内通信システム(詳細報道されず)で不正アクセスされている痕跡を確認したことによる。*47

*46：「年金機構、共有ファイルで感染か　情報流出問題」 2015年6月3日 『共同通信』
http://www.47news.jp/CN/201506/CN2015060201002362.html

*47：「年金情報流出：件名、厚労省文書と同じ　誤信誘導か」 2015年6月2日 『毎日新聞』
http://mainichi.jp/select/news/20150602k0000e040184000c.html

・流出が確定したのは2015年5月28日に警視庁より「流出したと考えられるデータを発見した」*48と日本年金機構が連絡を受けたことによる。*49

*48：「年金機構の125万件情報流出　職員、ウイルスメール開封」 2015年6月1日 『日本経済新聞社』
http://www.nikkei.com/article/DGXLASDG01HCD_R00C15A6000000/

*49：「年金情報流出：追跡困難、捜査長期化か…複数サーバー経由」 2015年6月6日 『毎日新聞』
http://mainichi.jp/select/news/20150606k0000m040159000c.html

《エスカレーションの状況》

（エスカレーション日 / 連絡ルート / 連絡内容）

・5月8日 / NISC → 厚生労働省 情報担当参事官室 / 不審な通信発生に伴う連絡
・5月8日 / 厚生労働省年金局 → 日本年金機構 / LANケーブルを抜くように指示
・5月8日 / (経路不明) → 日本年金機構理事長 / 感染事案の報告*50

*50：「日本年金機構にサイバー攻撃、ファイル共有サーバーから125万件の年金情報が流出」 2015年6月1日 『ITpro』
http://itpro.nikkeibp.co.jp/atcl/news/15/060101820/

・5月18日 / 日本年金機構 → 厚生労働省(担当係長まで) / 機構内端末への感染拡大に伴う対応
・5月19日 / 日本年金機構 → 厚生労働省(担当係長まで*51 ) / 警視庁に捜査依頼を報告

*51：「年金情報流出：機構理事会に報告せず　危機意識低く」 2015年6月10日 『毎日新聞』
http://mainichi.jp/select/news/20150609k0000e040224000c.html

・： / 厚生労働省 担当係長 → 厚生労働省 課長補佐クラス 職員*52 / 事案に関する報告

*52：「漏れた年金で野党、対応不備を追及　衆院集中審議、年金機構理事長「さらに拡大する懸念」」 2015年6月4日 『産経新聞』
http://www.sankei.com/politics/news/150603/plt1506030026-n1.html

・5月25日 / (経路不明) → 厚生労働省 担当課長、審議官 / 当該事案にかかわる報告*53

*53：「年金問題が優先…民主議員ら委員長取り囲む一幕」 2015年6月11日 『読売新聞』
（※ 現在、ページは表示できません）

・5月28日 夕方 / (経路不明) → 厚生労働相 / 当該事案にかかわる第一報の連絡
・5月29日 昼 / (経路不明) → 厚生労働相 / 当該事案にかかわる概要の報告

対応

《機構内部の対応》

・2015年5月9日～26日 契約をしているウィルス対策ソフト・情報セキュリティ会社に解析依頼、マルウェアを除去
・2015年5月19日 警視庁へ通報し、公安部が捜査を開始
・2015年5月29日 機構内の全拠点のインターネットの接続を遮断(２ちゃんねる書き込みから2015年5月28日頃～と推定される)
・2015年6月4日 再発防止のための第三者委員会を厚労省に設置*54

*54：「年金機構攻撃、１７日間幹部に知らせず　係長以下が対応」 2015年6月7日 『朝日新聞』
http://www.asahi.com/articles/ASH653G5MH65UTFL007.html

・2015年6月5日 外部とのメール送受信を禁止(当面の間) *55

*55：「年金情報流出：塩崎厚労相「第三者検証委を厚労省に設置」」 2015年6月2日 『毎日新聞』
http://mainichi.jp/select/news/20150602k0000m040092000c.html?inb=ra

・2015年5月8、18、25日 日本年金機構の職員に対して注意喚起

（注意喚起 / 発信日 / 掲載されていた不審メールの内容）
・1回目 / 2015年5月8日 20時7分 / 例示無し
・2回目 / 2015年5月18日 / 1パターン（給付研究委員会のみ例示）のみ例示
・3回目 / 2015年5月25日 / 4パターンを例示

・5月8日に全職員に対して発信された注意喚起

件名：【注意喚起】不審なメールについて

【注意喚起】
職員各位

最近、外部から機構宛に不審なメールが相次いでます。
送り主の名前に身に覚えのない不審なメールが届いた場合は、添付文書やURLなどを開封せず削除してください。

・5月25日に全職員に対して発信された注意喚起

件名：【＊＊：注意喚起】不審なメールについて
【注意喚起】
職員各位

先般より、外部から機構職員宛に不審なメールが相次いで送信されています。
不審な届いた場合は、添付ファイルや記載されているURLをクリックせずに、削除してください。
万一、添付ファイルや記載されているURLをクリックした場合は、ただちに下記問合先までご連絡ください。

問合先：システム統括部　システム管理Ｇ　＊＊　＊＊　＊＊　＊＊

【メールが不審であるかどうかの判断ポイント】

(1)　添付ファイルが付いている。
(2)　本文中にリンクがあり、クリックするようになっている。

このどちらかに該当するインターネットメールを受信した場合は、身に覚えのある人からのメール、たとえ機構職員からのメールであってもまず疑って、本文をよく読んで、不審な点がないか、確認してください。

【受信した不審メールの例】
：

・5月29日に全職員に対して発信された通達文書*56

*56：「年金機構、職員の電子メールを禁止　外部向け「当面の間」」 2015年6月6日 『ITmedia』
http://www.itmedia.co.jp/news/articles/1506/05/news110.html

職員各位

外部からの不審メールへの対応として、5月29日（金）から、本部を含む全拠点の機構LAN-PCからインターネットへの接続を中止します。

再開時期等は別途お知らせいたしますが、それまでの間は次の業務が行えなくなり、ご不便をおかけしますが、ご理解ご協力の程よろしくお願いいたします。

１．ねんきんネット職員用サービス
　ねんきんネット照会等対応が行えません（本部、各拠点）

２．機構ホームページ
　本部において、調達情報、プレスリリース等の更新が行えません（本部広報等）

３．管理帳票 WEB
　消耗品・業務帳票の印刷が行えません（本部管理室、各拠点）

４．リバースオークション
　リバースオークション関連調達の更新が行えません（本部調達部）

５．機構LANウイルス定義ファイル
　最新のウイルス定義ファイルが配信できません（本部、各拠点）

６．Ｅラーニングシステム（本部、各拠点）

７．街角年相オフィス連絡用オンラインストレージ
　年相部と街角年相オフィスの業務連絡が行えません（本部、街角年相オフィス）

なお、インターネットメールの使用は可能です。
ただし、身に覚えのないメール又は不審メールについては絶対に開封せず、削除してください。
削除したメールはゴミ箱（削除済みアイテム）に入りますので、その状態で下記まで連絡してください。

《警視庁の対応》

・警視庁高井戸署 被害相談を受け不正指令電磁的記録供用や不正アクセス禁止法違反の疑いで捜査を開始*57

*57：日本テレビ NewsZEROより,2015年6月2日視聴

・警視庁公安部が捜査を担当。

《年金加入者への対応》

・2015年6月1日 情報漏えいについて発表
・2015年6月2日 流出対象のシステム上でアラーム表示をする改修を行う。
・2015年6月1日の週 流出対象の加入者へ文面で通知する。
・流出対象の加入者の基礎年金番号を変更する。
・2015年6月1日～14日 不審な連絡他問い合わせを可能とする電話窓口を設置する。窓口は6月14日まで設置するが問い合わせ状況を見てその後継続するか判断する。

○お客様に外部からの不審な連絡があった場合には、当機構にご連絡くださいますようお願いいたします。そのための専用電話窓口（コールセンター）を本日設置します。

電話番号：フリーダイヤル 0120-818211
受付時間：8:30～21:00（平日及び土日）

※上記受付時間は本日から6月14日（日）までとし、その後の受付時間は日本年金機構HPでお知らせします。

《サイバーセキュリティ対策推進委員会》

6月1日に開催された会議にて以下の内容が指示された。

・NISCの指示に基づき、インターネット接続がある府省庁情報システムで類似の攻撃を受けていないか点検
・各府省庁における個人情報を含む重要情報の適正管理を職員へ徹底
・独法、特殊法人等、重要情報を取り扱いについて改めて指導を徹底
・これらの結果を迅速にNISCへ報告

２ちゃんねるへ行われていたリーク

２ちゃんねる（転職板や公務員板）へは5月28日夕方頃から当該事案に関連する思われる書き込みが行われていた。以下書き込みが行われたものを抽出。

《公務員板への書き込み》

189 ：ウィルス：2015/05/28(木) 20:43:50.67
感染しました。

190 ：ウィルス：2015/05/28(木) 21:49:42.65
ウィルス感染しましたので、共用ファイルは利用禁止となりました。

191 ：ウィルス：2015/05/28(木) 22:45:59.65
あれほど、差出人不明めメールは開封するな、と警告があったのに、、、

192 ：ウィルス：2015/05/29(金) 21:02:20.92
スタンプ領収できなくて不便なんですが？

193 ：非公開＠個人情報保護のため：2015/05/29(金) 23:58:06.45
全職員はパスワードを強制的に変更させられました。

194 ：非公開＠個人情報保護のため：2015/05/30(土) 10:54:22.22
ウィルス駆除対応のほんぶ

195 ：非公開＠個人情報保護のため：2015/05/30(土) 10:57:45.15
ウィルス駆除対応の本部職員の方々、休日出勤おつかれさまです。

199 ：非公開＠個人情報保護のため：2015/05/30(土) 21:40:57.71
月曜日には、ウィルス感染を公表するのかな？
http://wc2014.2ch.net/test/read.cgi/koumu/1407324158/189-

《転職板への書き込み》

786 ：名無しさん＠引く手あまた：2015/05/28(木) 18:43:30.27 ID:Nx1XTZly0
不審メール関係で何かあったね？

790 ：名無しさん＠引く手あまた：2015/05/28(木) 22:22:11.55 ID:6zSWShIj0
日本年金機構は色んなところから怨み買ってるからサイバー攻撃受けているんじゃねぇ
それとも雇い止めの怨みかも知れん

806 ：名無しさん＠引く手あまた：2015/05/29(金) 19:10:09.71 ID:LG18krzI0
今日は全く仕事にならんかったわw

807 ：名無しさん＠引く手あまた：2015/05/29(金) 19:12:06.89 ID:tpUOxb5i0
↑どうしてですか？

809 ：名無しさん＠引く手あまた：2015/05/29(金) 20:00:58.99 ID:aOPL3Qh70
皆さん、やっぱり、本当にヤバいことは書かないね

810 ：名無しさん＠引く手あまた：2015/05/29(金) 21:33:02.56 ID:gJXzenWR0
たとえば？

811 ：名無しさん＠引く手あまた：2015/05/29(金) 21:42:25.25 ID:UayMuq/50
パスワード強制変更＆フォルダー閲覧禁止のこと？

まさか個人情報が流出したわけじゃあるまいに。

813 ：名無しさん＠引く手あまた：2015/05/29(金) 21:47:22.17 ID:4aD4ZeUq0
>>811
あそこまで必死ってことは
個人情報でも流出したのかなと勘ぐっていたんだが
実際どうだったの？

814 ：名無しさん＠引く手あまた：2015/05/29(金) 21:59:24.74 ID:NMK6hpd90
>>811
>>813
その話はやめなさい
マスコミの格好のネタになるよ
もう一度解体になるよ

おい、ここにいる職員よ、絶対に垂れ込むなよ？
いいな、絶対だぞ？

818 ：名無しさん＠引く手あまた：2015/05/29(金) 22:48:22.28 ID:SgAZ1U9X0
個人情報が流出したなら
月曜日に会見とかやるんでないの
現場のしたっぱは何も聞いてないけど

820 ：名無しさん＠引く手あまた：2015/05/29(金) 22:51:19.50 ID:7lmm5qSo0
仕事が進まないよ
当然休日出勤して月曜日から正常になるんだろ
まあ、元々不備だらけだけど

837 ：名無しさん＠引く手あまた：2015/05/30(土) 22:00:14.35 ID:/a29d2/p0
ちゃんとシステム部は休日返上で仕事してるだろうな？
お前らがこの組織の癌なんだよ

850 ：名無しさん＠引く手あまた：2015/05/31(日) 08:41:41.03 ID:PYht+w5E0
明日は、つながってるんだろうか・・・

859 ：名無しさん＠引く手あまた：2015/05/31(日) 16:09:59.29 ID:NSGwnoLY0
あした職場へ行ったらみなさん大変なことが判明します。今から予告いたします。

874 ：名無しさん＠引く手あまた：2015/06/01(月) 07:49:20.32 ID:W0qixQurO
直ってねぇ！帰るか…
http://kanae.2ch.net/test/read.cgi/job/1430561293/786-

更新履歴

細かな最新情報の反映はここには記載していません。

・2015年6月1日 PM 新規作成
・2015年6月2日 PM 日本テレビの報道から不審メール、通達文書を文字起こし。
・2015年6月5日 AM インシデントタイムラインの詳細報道*58に伴い、該当箇所を見直し。

*58：「年金個人情報１２５万件流出…職員がメール開封」 2015年6月2日 『読売新聞』
http://www.yomiuri.co.jp/error.html?rUri=%2Fyol%2Fnational%2F20150601-OYT1T50129.html

・2015年6月6日 PM 漏えいした情報を整理して掲載。
・2015年6月22日 PM 個人情報漏えいの詳細、及びWebサイト再開に伴い更新。

執筆： この記事はKangoさんのブログ『piyolog』からご寄稿いただきました。

寄稿いただいた記事は2015年06月26日時点のものです。