今更の年金個人情報流出についてｗ

年金機構からの情報流出について、私が調べた限りでは、相当な疑問点がある。

先ず
第一点、メールの添付ファイルを開いたらウイルス感染したとなって居るが、EXE形式の添付ファイルをブロックしていなかったの？
第二点、流出した情報って、「流出が確認できた情報」の間違いじゃ無いの？
　　　　　　ファイルサーバのログから流出情報って本当に特定できているの？
第三点、最初に確認されたウイルスって、いわゆる「ウイルスドロッパー」だよねぇ。
　　　　　　ドロッパーがダウンロードしたはずの二次ファイルって検体採れたの？いつ？
第四点、機構内部のPCからPCへのウイルス感染があったの？
　　　　　　どんな脆弱性を突かれたの？管理者権限のあるアカウントを共有していたの？
等々。

第一点は、
ある程度、セキュリティ意識のある組織であれば、メールの添付ファイルブロックは必須。
にもかかわらず、実行形式のファイルが手元に届いたと言うことが不思議でならなかったわけです。

リンクでダウンロードしてしまったと言うならもう少し分かる話なのですが、リンクならもう少し警戒できましたよね・・・たぶん・・・？！


第二点は、
情報へのアクセス監査ですよね。基本ですよね。特に語りません。


第三点は、
「最初に検出されたウイルスは情報を盗むタイプのウイルスではありませんでした」という発言から間違いないと思うんだけど、
最近の標的型攻撃では、攻撃対象以外からアクセスされてもウイルス本体をダウンロードしないように作ってあるのは普通のことなので、
最初のウイルスだけでは、ウイルス対策ベンダーは二次攻撃に使われたウイルスは入手できなかったはず。

でも、情報は明らかにこの段階で漏洩しているわけで、「内閣府からの情報もあったわけで」、大臣の発言は全く要を得ていないことは明白。

機構内に専門家が居れば、辻褄があっていないことは直ぐに判ったのでは無いかと思うわけです。


第四点は、
機構内部でPCからPCへの感染があった様に報道されていたことに疑問を思ったわけです。

PCからPCへの感染って、結構簡単じゃ無いのですよ。

OSの緊急のセキュリティパッチが当たっていなかったとかでも無い限り、ユーザの操作が無いと感染を広げるのは難しいのです。
そんなに簡単なら、世界中のPCはウイルスだらけになってしまうのですよ。

唯一の正規の手段は、ユーザ一人一人がPCの管理者権限を持っていて、しかも、アカウント共有がある場合。
この場合は、簡単にPCを乗っ取れます。

でも、通常は、ユーザは管理者権限を持っていないし、共通のアカウントなんて、ドメインの管理者くらいで、
ドメインの管理者アカウントは、厳重に管理されていて通常業務では使わないはずなので、
そもそも、感染を広げることなど出来ないものなのです。

では、なぜ感染を広げることが出来たのか。


税金で運営されている公共の団体が攻撃を受けて情報漏洩してしまったわけですから、
公共に対する福祉の意味でもそれぞれの事象の原因を全て公開し、
「一般企業はこんなことしちゃだめよ」
と情報公開して欲しいです。

「突っ込まれたり、つるし上げられたりが嫌だから情報を隠す。」
みたいなことをすると、そもそも原因が無かったことにされ、対策されないなどと言うことにもなりかねません。

しっかり原因に向き合って対策して欲しいです。

また、対策にも税金が使われるわけですから、責任者・関係者は減俸し、その中から対策費用を捻出して欲しいと願ってやみません。

問題を起こせば起こすほど予算を使いたい放題なんて甘やかしてはいけません。

一般企業なら倒産してもおかしくないのですから。


原因を隠蔽したら懲戒免職くらいの気概で当たって欲しいです。