日本年金機構によると、流出したのは（１）基礎年金番号と氏名（約３万１０００人）（２）基礎年金番号と氏名、生年月日（約１１６万７０００人）（３）基礎年金番号と氏名、生年月日、住所（約５万２０００人）－の計約１２５万人分。国民年金と厚生年金の双方が含まれ、一部は同一の顧客情報が重複している可能性がある。

　１日、記者会見した機構の水島藤一郎理事長（６８）らによると、５月８日、職員がウイルスの入った添付ファイルを開封したことで、不正アクセスが発生。その後、ウイルス対策ソフト会社に解析を依頼したが、同様のメールは１８日までに、大量に機構側に送られてきた。メールの内容はそれぞれ異なり、最初に開封した職員とは別の複数の職員が開封していたという。

　その際、顧客への通知などの用途で使われている情報系システムなどに保存されていた個人情報のファイルが流出したとみられる。

　機構は１９日に警視庁に捜査を依頼。２８日に警視庁から、情報流出が確認されたとの連絡を受けた。社会保険を支払うための基幹システムへの不正アクセスは確認されていない。

　また、流出した個人情報約１２５万人分のうち、約７０万人分はパスワードが設定されていたが、それ以外は設定されておらず、機構の内規に違反した状態だったという。

　機構は５月８日以降、順次、全国の施設でインターネットへの接続を遮断。情報流出があった顧客に対して文書で通知し、年金に関する手続きがあった場合は本人確認を徹底する。また、基礎年金番号を変更して対応する。

　安倍晋三首相（６０）は１日、「国民の皆様にとって大切な年金だ。年金受給者のことを第一に考え、万全を期すように厚生労働相に指示をした」と述べた。官邸で記者団の質問に答えた。塩崎恭久（やすひさ）厚労相（６４）は１日、記者会見し「悪意をもった攻撃を防げなかったことは遺憾」とし、省内に第三者委員会を立ち上げる考えを示した。

　≪「標的型メール」で攻撃　捜査は難航か≫

　日本年金機構からウイルスメールによる不正アクセスで年金情報約１２５万人分が流出した事件は、職員のメールが狙われる典型的な「標的型メール」攻撃で抜き取られていた。不正アクセスの狙いは何なのか。警視庁は事実関係の確認を進めるなど捜査に着手したが、標的型メールによる不正アクセスは海外のＩＰアドレス（インターネット上の住所）を使用したうえ、サーバーを複数経由することが多く、送信元の追跡には難航が予想される。

　標的型メールは、不特定多数に大量に送られるウイルスメールとは異なり、特定の組織や人に送られるため、セキュリティーソフトで遮断される前に、標的とするメール受信者まで届いてしまうことが多い。

　メールには文書ファイルやＵＲＬなどが添付されており、これらをクリックするとウイルスに感染。このパソコンを通して、組織システム内へのウイルス拡散▽情報収集▽機密情報の外部への漏洩（ろうえい）▽システムの破壊－といった被害へ発展するケースもある。

　今回の不正アクセスも複数の職員がメールに添付されたファイルを開いたことが原因とみられており、こうした構図で情報漏洩が拡大した可能性が高い。

　大手セキュリティー会社「シマンテック」によると、こういった攻撃は１０年ほど前から世界各国の企業や政府機関で発生。１人でもファイルやＵＲＬを開かせてしまえば攻撃は成功するといった、手口の効率性が要因の一つとされる。シマンテックの浜田譲治・主任研究員は「メールの内容を対象の団体に合わせるという意味では標的型だが、もはや標的にされていない団体はなく、無差別といってもいいくらい。今や攻撃してくる国もさまざまで『サイバー紛争時代』といえる」と説明する。

　標的型攻撃の目的は「情報」だ。厚生労働省は「今回流出した情報だけで他人へのなりすましはできない」と説明するが、「住所、氏名、生年月日があれば十分いろいろな詐欺もできる。何らかの理由で国民の情報を欲したグループがいるはずだ」と浜田氏は警鐘を鳴らす。

　警視庁は厚労省のＬＡＮシステムや職員のパソコンの解析を進め、発信者の特定を進める方針だ。（ＳＡＮＫＥＩ　ＥＸＰＲＥＳＳ）