注意を喚起するだけで次の被害を防げるでしょうか。今日の読売新聞には「サイバー攻撃 ここに注意」という見出しで、個人ユーザー向けの解説が載っていました。「フリーメールであれば怪しむ」。「添付ファイルの形式を確認する」。言葉で言えば簡単そうですが、実際に行動に移せるかはわかりません。標的となった組織は事前に下調べされており、それに基づいて違和感のないよう偽装されているのが普通です。今回の年金情報漏出の場合、セミナーについての案内を騙っていました。
自分が「法学部事務室からの重要なお知らせ.exe」なんて添付ファイルを見たら、1秒も迷うことなく開いて感染する自信があります。さらに神奈川県藤沢市が抜き打ちで標的型メールの調査を行った結果、対象となった160人中4割近い60人がURLをクリックしてしまっています。6割はしっかり対応しているとはいえ、160人中1人でも騙されればそこから漏洩が始まってしまいます。たとえ自分だけは絶対に引っかからないと思っていても、何度も繰り返されると攻撃が成功してしまう可能性が大きくなるのです。
気になるのは、組織を挙げて防衛するという視点が抜け落ちてはいないかということです。例えば、情報の管理体制そのものについて。確かに今回の事件の直接の原因は、数人の不注意な職員がウイルスを仕込んだメールを開いてしまったことです。しかし、125万件もの大量の個人情報が流出したのは、個人のPCと年金受給者の情報があろうことか同じネットワークに接続されていたという欠陥のせいでもありました。もし攻撃を受けたらひとたまりもない状態だと思ったのなら、どうして直すことができなかったのでしょうか。
また、6月10日には、「インターネット回線を遮断したのは被害が発覚した一週間後である」という事実が明らかになりました。メールを遮断してしまえば日常の業務は一切行えなくなってしまう、という判断から実行できなかったようです。しかし、国会で野党が指摘するように「メールを使ったサイバーテロに遭っているのに、メールを外部と遮断していなかったのでは話にならない」のであって、更なる流出を防ぐためには即刻遮断すべきでした。そのためには重大な決断を下せる人物が組織にいなくてはなりませんが、果たしてそれだけの権限が年金機構に与えられていたでしょうか。
今回の事件は、大組織が落ち込みやすい罠のようにも思えてしまいます。万が一の場合を想定し、誰に決定権があるのかはっきりさせておくという当たり前の努力を惜しんだ結果ではないでしょうか。サイバー攻撃という未知の障害に立ち向かうためには、全組織を網羅する予防策を打ち出すことが必要です。
<参考記事>
6月13日付 読売新聞朝刊 12版 第23面 (くらし 家庭)「サイバー攻撃 ここに注意」