日本年金機構の職員のパソコンがサイバー攻撃を受け、約125万件もの年金情報が流出しました。相手を選んで狙い、ウイルスが潜んだ添付ファイルを使う「標的型メール」による攻撃だったとのこと。125万件の半分近い55万件はパスワードが未設定だったらしく、防御システムを構築していても、攻撃する側にとって情報は丸裸に近かった、といいます。

　一連のニュースを追っていると、多くのことが見えてきます。125万件は名前、住所などを含むかどうかで3通りに分かれるものの、全部に基礎年金番号が付いていた。消息通によると、年金番号は「裏名簿業界」では１件あたり150円ほどで売買され、年金を「本人なりすまし」で詐取するなどの不正行為が可能になる。現に内部調査後の6月1日の発表までに、基礎年金番号が漏れ出た年金受給権者「本人」から住所変更などの届出が計436件あった。

　これに対し、年金機構はデータが流出したご本人に自宅訪問などで事態を通知し、基礎年金番号の切り替えに着手。一方で、今回のハッカーとは別と思われる所から、年金機構の名をかたった「振り込め詐欺」のウソ電話が早くも無差別にかかり始めているようだ――といったことなどです。

　年金機構の職員らが最初に受信したメールは「やり取り型」と呼ばれるものだったようだ、といいます。「年金関連の研修」への参加勧誘などを装ったメールの受信があり、職員らはさほどの不審を覚えずに返信メールを送り、やり取りの途中で添付ファイルを開けてウイルスに感染したようだとのこと。その意味では、職員側にも言い分があるのではと思われるものの、過失は過失、しかも重大な過失といえます。

　未知の発信先からのメールは私なども時々受信しています。しかし、もっともらしい標題のメールでも、添付ファイルに触ったり、メール本文中のURLをクリックしたりはしないようにしています。というのも、10数年前、発信者不明のメールの添付ファイルを何気なく開けて、一瞬にしてエクスプレスがフリーズ。他のデータともどもパソコンの全部を初期化してもらうという、ムダな経験をしているからです。初期化に要した費用もイタかったですが、何よりも保存していたデータ全部を消去させられたことに落胆したのを覚えています。

　不審なメールに添付されている文書の見分け方、というのも今回、とある研修で教わりました。WORDなどのファイルには拡張子が付いていますが、それが「.exe」「.scr」「.bat」「.pif」などとなっているのは要注意で、大丈夫なように見える「.doc」でも「.doc      …」と、後ろに空白が付いているのはヤバいといいます。

　たまたま昨日（15日）、京都商工会議所が主催した無料セミナー「マイナンバー制度に関する説明会」を聞いてきました。内閣官房などの担当者２人による入門講座で、事前案内での希望者が多かったため、京商では急きょ会場を変え、それでも1000人近い受講者でホテルの広間は満杯。しかし、担当者２人は年金機構のデータ流出にはひと言も触れないままです。事態の検証が途上にあり、マイナンバーと基礎年金番号のリンクの行方についてうかつなことは言えなかったものと思われます。

　とはいえ私は、担当者が、来年１月から始まるマイナンバーの運用について「目的を絞った限定的なもので、国が国民の全部を一元管理するものではありません」と説明する一方で、「将来的には横断的にいろいろなことが幅広くできるはずです」と、辻褄の合わないことを言うのを聞いて、やはり警戒させられました。

　サイバー攻撃は、防御システムを超えるテクニックをもって突然（さりげなく）襲来する、といいます。用心するに越したことはありませんが、その用心の仕方がなかなか分からない。受信しただけで汚染されるメールはまだないようなので、とりあえずはパソコンで外部と接触する折には慎重に、という当たり前のことしか言えません。