情報流出した日本年金機構の過去の契約会社の名前を推測

不正アクセスで125万件の個人年金情報流出 日本年金機構  :日本経済新聞

電子メールにウイルスの組み込まれた添付ファイルを職員が誤って開き、不正アクセスされたと想定される

|。・ω・) 。o (誤って開き、じゃなくて無知だったので、不用意に開きましたじゃないのか?)

日本年金機構におけるウィルス対策ソフトウェア(TMCM)のサポートライセンス の購入 一式
2011年10月

ウィルス対策ソフトウェアに関する情報提供依頼
2012年6月

日本年金機構におけるウィルス対策ソフトウェア(Corp)のサポートライセンスの購入 一式(公示:2012年07月13日) | 入札情報サービスNJSS
2012年9月入札

株式会社カントー 東京都千代田区九段北1-11-2  落札額 22,047,900 円
落札理由     最低価格

注:入札時期がちょっと古いですが、前契約が、2013年3月までのライセンスに対して、そこからの契約だった可能性が高い。(落札から契約までが半年ないのに、そこから契約締結引いたらほとんど日にちがないもんね)


セキュリティソリューション | 株式会社カントー
mse

ホームページには Symantec と Microsoft の文字が…。

検出できなかったのは Symantec か Microsoft のセキュリティソフトの疑惑

株式会社アンラボ - マイクロソフト導入事例|Microsoft for Business
かと思ったら、 韓国の Ahanlab 製セキュリティソフトを導入した実績も…。

安価と言ってるので、 Ahanlab か Microsoft Security Essentials を入れていたせいで検出できなかった疑惑が…。

|。・ω・) 。o ( また、韓国かよ )

おまけ

ソフトウエア(セキュリティソフト「Check Point Full Disk Encryption」)の保守ライセンスの購入|日本年金機構競り下げのお知らせ | 株式会社購買戦略研究所
2014年8月

おいおい…まさか、盗難防止にHDDを暗号化するだけのCheckPoint (Pointsec/秘文)をセキュリティソフトと思って、株式会社カントーとの契約が切れた後、 ウィルス対策ソフト入れてなかったなんて落ちは嫌だぞ…。

日本年金機構の情報漏えいについてまとめてみた - piyolog

2015年5月8日~18日    複数の職員に対してマルウェア付の電子メールが送信される。*1
2015年5月8日    職員一人がマルウェア付電子メールを開封
〃    日本年金機構へ不正アクセスが行われる。
〃    日本年金機構の通信システムから不正アクセスの記録を確認。
〃 数時間後    感染端末1台をネットワークから隔離
その後    日本年金機構内で職員に対して注意喚起
2015年5月18日まで    十数通のメールが日本年金機構へ届く。
〃    少なくとも職員一人が感染し、日本年金機構へ不正アクセスが行われる

隔離だけで、感染の防御ができてない…繰り返し感染。
これを見るとネットワーク監視は機能してたけど、個々のPCへのセキュリティソフトは機能してなかったように見える…。

KTSS(カントー トータル サポートシステム)のご案内 | 株式会社カントー

日々進化し続けるウイルスやスパイウェアの感染ルートはメール・Web・USBメモリからと様々です。ひとたび感染被害にあうと業務に深刻な被害をもたら します。当社ではお客様のウイルス対策管理サーバー導入後の運用サポートを行います。またウイルス感染した場合はウイルス駆除のご支援を行います。

  • ・ウイルス対策ソフトの障害対応および操作、設定に関するサポート
  • ・ウイルス対策管理サーバーの運用サポート
  • ・最新ウイルス情報の提供とウイルス駆除支援

ウィルス対策ソフトの満了で定義の更新切れ→HDD暗号化ソフト入れただけでネットワーク監視だけしか機能していなかった恐れも?

なんか、クライアントにセキュリティソフト入れなくても、ウィルス対策の監視サーバーしてるので、個々のパソコンが感染してもすぐリモートで接続して駆除します。って見えるんだけど大丈夫なの?ふつう感染直後の動作が問題なんだから、人力で対応するころには後の祭りなんじゃ?

5月8日 共有サーバーにXLSか何かで置いてあって、だれでも自由にアクセスできた。ウィルス感染させて、パソコンが乗っ取って共有フォルダにアクセスしていろいろしてたら途中で感染がばれて隔離された
5月18日 改めて別のPCに感染成功、共有フォルダなどの場所も把握できてるので最小限の操作で情報を物故抜いた
|。・ω・)。o (こうかい?)

パタリロ7巻23話の
『うーむ、それにしてもさすがは金にあかして作ったコンピューターすばらしい働きとしてくれる』
『たしかにコンピューターはすばらしかったが、それにたずさわる人間たちがいけなかった』ってのを思い出す

おすすめ

3件のフィードバック

  1. 名無し より:

    公的機関のセキュリティ対策を含めた、IT(笑)関連事業なんてのは丸投げです。
    言い換えれば、専属の担当者など居ないに等しいです。
    そんなおりにやれマイナンバーが安全だのなんだのと言われても、誰も信用しません。

  2. ハラホロヒレハレ より:

    こんばんは、何時もここを拝見する事を楽しみにしています。
    ところでこの事件、TVのニュースによると職員のメールにウィルスが仕込まれていたとか。
    このタイプの攻撃の場合、既存のセキュリティソフトはどの程度役に立つのか疑問があります。
    とはいえ、それを言ったらどんな攻撃に対しても同じなのですが………
    私は個人的に、セキュリティソフトの防御力を信用していません。
    何故なら、攻撃者が本気でセキュリティを破ろうとするならば、攻撃の前に既存の防御で検出されない事を確認してから攻撃すると思うからです。
    なので、今現在可能な対策の一つとしてセキュリティソフトを導入するのは絶対必要な条件であると確認していますが、それ以上に必要なのはパソコンを扱う人の教育だと思うのです。
    ですが、現状を見ると、どんなに教育しようとも無意味な人が多すぎます。私は業者ではありませんが、周囲にあの手この手で周知させようとしていますがのれんに腕押しな方がほとんど。
    このような現状では、こういった情報漏洩をなくす事は絶対に不可能だと感じています。

  3. yoka より:

    責任を取らない人たちのために出来た会社なので発表情報は1から創作のような気がしますね。
    責任を取らなかったり言い逃れする人たちには大事な仕事をさせてはいけないと私は思います。
    それが元で国民が苦労しようともお金を払って仕事をさせても結局は国民が困ったことになるということをそろそろ国民は学習するべきだと私は思います。
    一人一人が自分の行動に対する責任を感じていればこのようなことは起こらなかったのではないでしょうか。

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です