2015年6月3日

年金機構のデータ流出がどれだけ低レベルなミスか知ってる?

分かりやすいです。
36
新泉© @araizumiC

年金機構のデータ流出が低レベルすぎて呆れる pic.twitter.com/Y010bHbzt8

2015-06-02 23:03:12
拡大
リンク Yahoo!ニュース 年金情報、ダウンロードした職員PCから流出か(朝日新聞デジタル) - Yahoo!ニュース 日本年金機構がサイバー攻撃されて年金受給者や加入者の個人情報約125万件が流出 - Yahoo!ニュース(朝日新聞デジタル)
反安倍 闇のあざらし隊 @MetalGodTokyo

年金機構の個人情報流出、どこのメーカーのウイルス対策ソフトを使っていたか耳にはしているけど、こんな状態では可哀想すぎて、メーカー側に同情を禁じえない。 twitter.com/araizumiC/stat…

2015-06-02 23:35:21
ohtani shin @s_otn

未だに自治体の多くがこんな状態らしいけど.....。 twitter.com/araizumiC/stat…

2015-06-02 23:45:44
ししょお @shisyo_o

さんざん叩かれた社保庁時代から、組織体質の根幹は変わってないのか。こりゃ数十年後に年金貰うのは、期待できなさそうだ。 twitter.com/araizumiC/stat…

2015-06-02 23:45:46
duckhouse_jp @duckhouse_jp

人の失敗を笑うつもりはないが…世の中には、「失敗してはいけない事」「失敗してはいけない立場の人」が存在する。記者会見を見たが、彼らに当事者意識が無いのには絶望するしかない。将来、年金受給者になる我々にできることはないのだろうか? twitter.com/araizumic/stat…

2015-06-03 00:02:11
電光石火 @electlightning

アホの年金機構の職員ども、税金で飯食って国民の大事な金徴収しといて杜撰すぎるとは怒髪天を突く。下衆の極み!! twitter.com/araizumiC/stat…

2015-06-03 00:02:47
ラクダ @rakuda_red

@araizumiC つまり上司は全員宮刑ということですね。それなら大多数の男性国民から許されるでしょうね。

2015-06-03 00:19:09
なおし @naoshi_704

ニュースは小難しい言葉を使ってたが、平たく言うとこうなる。パソコン素人並みのセキュリティレベルだなw twitter.com/araizumiC/stat…

2015-06-03 00:24:55
新泉© @araizumiC

@naoshi_704 そうなんですよ、色々説明やら解説やらしても、端的に言やぁこういうことですよねぇと。

2015-06-03 00:26:56
新泉© @araizumiC

@naoshi_704 未知のメールアドレスでファイル添付の時点で弾くなんてのはノートン先生でもやるレベルですよね。

2015-06-03 00:52:05
katsuhiro放射能健診署名運動京都 @katsuhiro223

.@araizumiC もう、日本国民全員が 『なにぃーーー❗️❗️』ですよ! 日本政府のセキュリティなんてあったもんじゃないですよね。 しかもそんなマヌケな政府が「秘密保護法」だなんてヌカしている。違反した者を捕まえると。 まず国民の個人情報をしっかりと保護しろよ!ってもんです

2015-06-03 00:55:20
SUEカメ @nagacame

@katsuhiro223 @araizumiC 政府の情報は秘密保護法でバッチリ護られ 国民の情報は秘密なしの公開状態‼︎ あまりにも、ひど過ぎる‼︎

2015-06-03 08:08:54
まき☆めりまき@みのりん先輩の下僕 @makidekazu

年金機構の問題は脆弱性云々の前に情報漏洩した時のリスクに対してあまりにも意識が無さすぎるからだけのことではないかと。民間なら死活問題だけど…まぁせいぜい社保庁から日本年金機構に変わったように名称が変わるくらいだろうし。 twitter.com/araizumiC/stat…

2015-06-03 11:56:30
いとう @misaki_kaityo

うちの会社と全く同じでワロタwwwwワロタ…… twitter.com/araizumiC/stat…

2015-06-03 01:00:44
1つの考えとして思っていただければ。

コメント

zwanzigst @zwanzigst 2015年6月3日
今回どうも軽率に添付ファイルを開いたのが原因らしいとはいえ、まとめの楽観っぷりが怖い。不要なダブルクリックやチャタリング、ドラッグポロリとかしたことないものがまず石を投げなさい。
38
鉄イさん @steel_cak 2015年6月3日
これ専門のスタッフはいなかったのか・・・
1
Sea_Doberman @Sea_Doberman 2015年6月3日
さすがにマンガの話が、90年代過ぎて全然楽しめない。
1
Sea_Doberman @Sea_Doberman 2015年6月3日
ハイ、21世紀のマルウェアをどぞ。「HDDのファームウェアに感染するマルウェアが登場、逃れる術はないことが判明 http://togetter.com/li/784869
4
舎文字 @syamonji 2015年6月3日
標的型のメールってかなり警戒しててもひっかかる可能性はある代物って話もあるようですね http://togetter.com/li/829809
22
Seikoh Fukuma @doku_f 2015年6月3日
上で色々擁護している人もいるようだが、まとめの通りだろう。送られて来た添付ファイルはlzhだし、わざわざ職員のPCに保護すべきデーターを移して作業している。
22
川田清貴 音響効果 @kksoundeffect 2015年6月3日
もう理解する気のない人はどうしようもないとして、データの一部持ち出しを防ぐためにデータをコピペできず専用アプリからしか参照できないデータベース、そういうアプリとオフィスシリーズとメーラーなどホワイトリストで実行ファイルを制限するOS設計するしかないと思う。もちろん持ち込み不可。そういうレベルの問題。もうそういう環境じゃやりづらいとか言ってられる状況じゃないし。
9
Sの人 @siellc 2015年6月3日
叩かれるのはSEなんでしょ、知ってる知ってる
1
初瀬 神楽 @Kagura_d34272 2015年6月3日
kksoundeffect Windowsでもポリシー配布でホワイトリストによる実行ファイルの制限はできるし、DB参照を専用アプリからしかさせないようにするシステムも構築事例は探せばそれなりにあるんで、そういうOSの開発が必要なわけでも環境構築が非現実的なわけでもなくて、担当者がその必要性を理解できない無知だったか、セキュアな運用環境を作るのに必要な予算が取れなかったか、政治的にIT部門が弱くてガバガバなシステムしか作らせて貰えなかったか、その辺なんよね。
17
進士助平 @tamacoropon 2015年6月3日
俺も格安ソープで生やって病気貰ったくらいガバガバだから人のこと言えない(;;)
3
ごえたろ @goetaro 2015年6月3日
どうでもいいけどまとめられてる2番めの人のアイコン、スクリーンネーム、アカウント名全てのパワーが高すぎて笑った
5
タヌマ @tnmaua 2015年6月3日
「起きてはいけない事でも起きる」って福島原発の件で学習しなかったんだろうか。
3
Anonymous Coward.jp @Anonymous_jp_ 2015年6月3日
ヒューマンエラーはどうしても起こりうる。それに対する対処はどのようにしているかと思いきや「メールで啓発」なにその大日本帝国以来、伝統の精神論
10
ナスカ(Nazka-U) @Chiether 2015年6月3日
勝手にデータ持ってたり、パスワードかけてなかったりとか。まあそこはそことして。 上コメにある「Windowsでもポリシー配布でホワイトリストによる実行ファイルの制限はできるし」というのは、どーだろうか。Emdivi絡みといえばCVE-2014-7247みたいなのもホワイトリストで防ぐとでも言うのだろうか。
1
zaqron @zaqron 2015年6月3日
これがサイバー攻撃と言われていることに困惑
3
3mのちくわ(20禁) @tikuwa_zero 2015年6月3日
備えた上でやられたのなら気の毒の一言だけど、そもそもその備えを「めんどくさい」という理由でブッチしたワケだから、そりゃ批判されるだろって話。これは備えが万全であってもやられるとは、また別の話。それを前提に「だから批判はよせ」なんて云い出したら、セキュリティ概念そのものが無駄って話にしかならんし。
14
初瀬 神楽 @Kagura_d34272 2015年6月3日
Chiether Emdiviは所詮は実行ファイルなのでホワイトリストで防げる筈やし、アプリの脆弱性はアプリにパッチ当てることで対策すべきで(ゼロデイの場合どうするかはあるけど、それはゼロからOS設計しようがLinuxやMac等使おうが発生しうる)ホワイトリスト云々とは関係ないよね? ホワイトリストさえ実施すればセキュリティ対策できるなんてことはどちらにせよなくて、必要なのは費用対効果(リスク見積もり含む)が適切な範囲で複合的な対策を取ることやし。
2
ナスカ(Nazka-U) @Chiether 2015年6月3日
Kagura_d34272 私が言ってるのはEmdiviそのものではなくCVE-2014-7247のような実行ファイルではない感染経路です。実行ファイルなどは、ホワイトリストでもよいでしょうが(それは、漏洩関係なく重要です)、今回に関して言えばホワイトリストどーこー以前に、提示してくださっているデータの隔離策などのほうがおっしゃっている費用対効果が万全ってことです(だからこそ、ローカル保存で作業していたことに起こっている人もいるわけで)。
0
ナスカ(Nazka-U) @Chiether 2015年6月3日
費用対効果が万全って言い方は、おかしいな。 費用対効果がバッチシ。 だろうか(なんとかバだけでも合わせたい) 普通の企業でも「外部接続用」と「社内接続用」と分けていて、お互いのデータ渡せないようになっていたりもするんですけど。(悪意ある人が手作業でデータ書くとか今は考えないとして)データアクセスの隔離ってのは、とても重要だと思います。
5
初瀬 神楽 @Kagura_d34272 2015年6月3日
Chiether 外接と内接わけるのは基本といえば基本だけど、そうしなかったのが「セキュリティ的な部分への怠慢」なのか「業務の要件上、不可分だったのか」は報道その他の情報だけではわからんので、「それをしてれば良かった」とは言えないかなぁと思うん。ただまあ現実的に判ってるのは「Windows端末で」「外接と内接を切り分けてないシステムだった」ということだけなんで。
3
Ducky G. Duck @duckygduck 2015年6月3日
日本の防衛産業、三菱重工やIHI、川崎重工、三菱電機、NECが標的型メール攻撃を受けたのが2011年。あれから3-4年経って、対策が進んでなかったとすると笑い事では済まないんだけど。
4
アルパカおじさん @oldmanpom 2015年6月3日
なんかこの件について擁護してる人がいるんだけど、「手口が巧妙だからミスが許される」わけじゃ無いですから。どっちにしろ責任は取る必要があります。そこのところは間違えたらダメですよ。
7
風祭司 @whoxi4 2015年6月3日
zwanzigst 基本ノートン先生で即削除し、添付ファイルはソースから送信元を確認した後に開封するので石を投げます。なお、踏み台PCがあって送信元も正規だと無理な模様(←多くの自治体のPCがこの状態であることが大問題)
2
八代泰太 @3914kcorkcolc 2015年6月3日
しかし、これを政府批判につなげても政府として出来ることって、パソコンの扱いに対応できてない職員には完全オフライン環境で紙資料のワープロ筆耕だけさせて、それなりに慣れてる人達にデータ扱わせるように上から命令するしか無いような。
1
zwanzigst @zwanzigst 2015年6月3日
いくらひどい過失でも個人のミスを原因にしてしまうと精神論に行くしかないので、攻撃が成立する要因はそこじゃないと言いたかった次第です。攻撃側は対象が過失を起こすまで試行すればいいだけですし。
20
緑川⋈だむ モデルナフルチン @Dam_midorikawa 2015年6月3日
要するに、「電子メールというメディアを放棄する」というのが一番正しいセキュリティ対策じゃねか
2
初瀬 神楽 @Kagura_d34272 2015年6月4日
電子メールなくしてFAXと電話だけにします! → 「FAX間違えて送信して個人情報漏洩しました!」 とか 「あ、もしもし俺だよ俺。今、出先なんだけど持ってくるの忘れちゃったから、例の資料読み上げてくれないか」「あ、はい読みますね」  みたいな事案に。
1
初瀬 神楽 @Kagura_d34272 2015年6月4日
個人のミスは個人のミスとして、どれくらい駄目だったかという観点(たとえばマニュアルを守ってなかった、研修をサボってて知識が足りなかった)に応じたペナルティは科すべきやけど、たかが個人がミスをやらかした程度でこんだけの大問題を引き起こすのはシステムの設計と運用のどちらか(あるいは両方)にも問題があるんで、そのシステムの瑕疵の結果として生じた被害についてまで個人に責任を負わしたらあかんね。
18
初瀬 神楽 @Kagura_d34272 2015年6月4日
・・・ああ、つまりこれって「個人のやったことは確かに規則や規定からは確実に外れてた筈で、ましてや意識が足りなかった」けれども、「その個人のチョンボに対するフェイルセーフが不十分だった上、職員への教育などが不適切だったことにより、個人のチョンボでは済まされない大惨事になった」というわけで、ちょうど10年ほど前の福知山線脱線事故に近い案件よねえ。あれも多分「運転士が悪い」「いやダイヤや日勤教育含めた企業体質のせいだ」って意見が割れるパターンやし。
14
橇山宗太郎(嘘つきのクレタ人) @Ifniyat 2015年6月4日
サーバー専用OS 端末専用OS の開発から始めてはどうか。
0
Hoehoe @baisetusai 2015年6月4日
これ個人情報だから公表したけど、特定機密だって簡単に盗まれてる上に隠蔽してるんじゃないか
2
ゆぅさん@千葉 @yuxu 2015年6月4日
たしかに重大なミスで、関係者は叩かれても仕方ないのだが、一部の叩き方になんだかもやっとする。『とにかくなんでもいいから政府を叩きたい』という悪意を感じるんだよなあ。特定秘密保護法あたりを引き合いに出してる連中に。
14
Mizuta Fumitaka @Humi_TW 2015年6月4日
まあ、.go と .ac のアカウントは昔からセキュリティ意識はゆるゆるだったけれども、未だに殆ど変わっていないのだよ(色々な意味で実感)〜(^^;;
2
ザ タク @O_THE_TAKU 2015年6月4日
セキュリティに対する投資判断は本当に難しい。大枚積んでも利益が出るわけでもないし、リスクを組織上層に理解させるのには骨折れるし。予算が回って来なかったのかもな。
0
腐ってもエビ @kusattemoevill 2015年6月4日
「批判するな」と「批判の仕方を間違えるな」を混同するのは危険
8
猫町 縞@かえるのもりイラストレーター🐾 @Katzenauge2 2015年6月4日
そう言えば正規・臨時にかかわらず、公務員の募集要項に『コンピュータセキュリティの知識を有している』等の記述をそも見たことがない気がする。官公庁でPC触らない仕事の方が少ないだろうに、そこを必須として人材を募集しない→セキュリティ素人が官公庁のPC触る→イマココ なんじゃないのかな。きちんと講習を受けさせるとかマニュアル作成するとか以前に、そういう意識のある人材を入れていかないとまた同じ愚行が繰り返されると思う。
1
Udagawa_Jitsuo @udajitsu 2015年6月4日
これ、あほなクリックした職員こそが最大の責任があるはずなのに、そいつ自身のことがうやむやになって上の方の肩書持ちばかりが攻撃されてるのはおかしくないかね。野党の連中もそいつらに食って掛かってるようだが、こんな初歩ミスする奴を雇った/雇ってた責任で追及しろよ
0
超魚目 @superUOnoME 2015年6月4日
キンタマウィルスを思い出した。スマホタブレットによるパソコン離れが事態を引き起こしたのかもしれんね。
0
緑川⋈だむ モデルナフルチン @Dam_midorikawa 2015年6月4日
もう電子メールを廃止して、専用SNSでのみメッセージ送受信を受け付けるようにしようよ。アカウント取得は銀行口座並みの身分証明を要求することにして
1
初瀬 神楽 @Kagura_d34272 2015年6月4日
Katzenauge2 セキュリティの知識を要件に採用しようとすると「知識を有していることの客観的基準」が必要になって、たとえばITパスポート試験(昔で言う初級シスアド的なやつ)を必須、とするとかは可能だけど、それだけでかなり人が集まりにくくなるのよねぇ。人が集まりにくいならどうするかというと待遇を良くするしかないけど、そこまで予算がとれるかどうか。
1
初瀬 神楽 @Kagura_d34272 2015年6月4日
udajitsu クリックした職員を最大の責任とすることが、まさに「責任をうやむやにすること」ですよん。今回クリックした馬鹿が居なかったとしても他の人がやった可能性があるんで。ましてや雇用担当者にそんな馬鹿かどうかの判別まで厳密に求めるのは無理で、責任とるべきは「そんなお漏らし上等なシステムになる原因」を作った人なり組織なりやね。それは開発会社なのか、設計者なのか、或いは予算をおろさなかった側なのか、楽するためにガバガバなシステムを要求した現場部門なのかはまだ判らんけど。
8
初瀬 神楽 @Kagura_d34272 2015年6月4日
明確な害意や悪意があったなら兎も角、個人の過怠で組織外に被害を与えたとき、その個人を責め、責任を取らせるべきは組織の人間であって、外部に対して責任を取るのはその個人ではなく組織であるべきやないの?(個人が組織のトップ等、高度に責任を負う存在なら兎も角) 
7
Sea_Doberman @Sea_Doberman 2015年6月4日
昔ながらの「お役所仕事」に戻して、「添付ファイルはテキストファイルに限る。圧縮禁止。お上に逆らうべからず!」で、すべて解決。伝票類すべてを自社仕様で要求する会社と同じだから許されるでしょ。
0
Sea_Doberman @Sea_Doberman 2015年6月4日
「怪しいメールの添付ファイルは開くな」と言われるばかりのエンドユーザーは、未だに、一部文字化け(西欧、中国フォント)したようなひと目で怪しいとわかるメールや、昔ながらのスパムメールが送られてくると思い込んでるし、システム管理、セキュリティーがわかる人は、「いや、いや、これはそういう問題じゃない」の平行線。
1
Sea_Doberman @Sea_Doberman 2015年6月4日
Sea_Doberman 改ざん防止のためにFAXサーバー設置。原本はFAXしてもらって、サーバー保存。PDF化して送ってくれるサービスがあるぐらいだから簡単な話。
0
まさらっき 金曜東ト32b @masarakki 2015年6月4日
この画像の違和感 大抵のシステムをクラックするのにスーパーハカーなんて必要ないよ
3
八代泰太 @3914kcorkcolc 2015年6月4日
やっぱりVPNなんて信用ならん。年金管理用に専用回線を引き、その回線以外に繋げないようにした専用電算機でデータを扱うようにしないといけないな。インターネットに物理的に繋がなければ、ヒューマンエラーによる流出なんて起こりようがないだろう。
0
smw @Shi_MeiWo 2015年6月5日
極端から極端に話を振っても泥仕合になるばかりだ。ここは視点を「なぜ民間では行われているファイルの慎重な扱いを、職員は徹底できなかったのか」に絞った方が建設的になると思う。既に別まとめで言われているように「慎重に扱うことが非現実的だったため、誤ったファイルの扱いが慣行になっていた」のかもしれないし。
0
初瀬 神楽 @Kagura_d34272 2015年6月6日
Shi_MeiWo そこよねぇ。「慎重に扱うのが非現実的だった」のが業務設計やシステム設計のまずさなのか、単純に現場で人手が足りなくて手順を省略しないと仕事が追いつかなかったのか、或いはそれ以外の原因もあるのか。全部っぽい気もするけど、そういう原因の究明がきちんとされればねぇ……有耶無耶で終わりそうな気もするけどん。
0
タツコマ@一夫多妻 @TATukoma1987 2015年6月7日
とりあえず、この手の管理はやっぱりカード会社か銀行に任せるのが一番って結論で。カード会社に管理任せて、それに税金突っ込まれてても文句言わねえよ。だって、管理だけはきっちりしてるもん。
0
タツコマ@一夫多妻 @TATukoma1987 2015年6月7日
でも、日本年金機構って民主党政権の時にできなかったっけ?
0
タスク平文 @taskheibun 2015年6月7日
そもそも日本年金機構の一般職員が職場でインターネットに接続された端末を利用する必要があるのかな。物理的にネットワークを分離するのが一番だと思うけど。
1
タスク平文 @taskheibun 2015年6月7日
団塊前後の人間の中には仕事でパソコン使うけど定型的な作業しかできない人もいて、そういう人はコンピュータの知識もネットの知識もほんとにセキュリティ以前のレベルだから、ちょっとやそっとの研修でどうにかなる問題ではない。
2
どこにもいない人 @nowhereman17 2015年6月8日
セキュリティがゆるいと思ってる人が多いんだな。実際は度し難く堅牢なセキュリティが業務を成立し得ない状況に追い込んでいるというのが問題なんだけど。従業者が業務を行わないと就業規則違反、業務を行うと情報管理規定違反というのが、今の日本の組織の現状。
1
ひろっぺ@内調的マスク&手洗い&うがい @hiroppe3rd 2015年6月10日
過去に情報漏洩が発生した事件における原因のおよそ7割が「管理ミスおよび誤操作」です。ここでいう「低レベル」とされているものですね。
0
ひろっぺ@内調的マスク&手洗い&うがい @hiroppe3rd 2015年6月10日
第一次安倍内閣の際に、人員削減を名目に社保庁の解体が薦められた。しかし解体の前段階で、民主党に政権交代し、解体が継続されたとみせかけて名前を変えただけで中身は維持されてしまったのが日本年金機構。ちなみにマイナンバー制度は、人員削減を目的としたもので、「管理ミスおよび誤操作」を削減する ということでセキュリティを高める目的は一致している。
0