orangeitems’s diary

クラウドではたらくエンジニアの日々の感想です。

図らずもTorの匿名性が証明されてしまった年金流出事件の時効

f:id:orangeitems:20180520122109j:plain

 

年金情報流出事件が時効

3年ほど前に大きな話題となった年金情報流出事件ですが、時効が成立し終了となってしまいました。

mainichi.jp

日本年金機構が2015年5月にサイバー攻撃を受け、約125万件(約101万人分)の個人情報が流出した事件は、20日午前0時に不正指令電磁的記録供用容疑の公訴時効(3年)が成立した。警視庁公安部は犯人の特定に向けて同容疑で捜査を進めたが、通信先を匿名化する通信ソフト「Tor(トーア)」などが壁となった。公安部は21日に容疑者不詳のまま同事件を書類送検し、捜査を終結する。

 

事件に「直接」Torは関係ない

この件は、標的型攻撃の恐ろしさが世間に知れ渡ったことで有名です。

cybersecurity-jp.com

2015年5月、日本年金機構に対し外部から「標的型攻撃メール」が送られ、その結果年金管理システムに保管されていた125万人分の個人情報が漏洩しました。

組織の前身である社会保険庁の時代から「情報管理」において不祥事を多発していた日本年金機構。甚大な被害を出してしまった2015年の個人情報漏洩事件から1年が経った今、彼らはどの様に生まれ変わり、国民の年金情報管理を担っているのでしょうか。

今回は日本年金機構で起こった情報漏洩事件について、事件の経緯や原因、その後の対策、現在行われている情報管理方法まで調べてみました。

 

その後、ウイルスは「Emdivi」であることがわかっています。

japan.zdnet.com

 

しかし結局のところ、事件の終始においてTorが登場した経緯はありません。毎日新聞の記事によると標的型攻撃によるデータ流出の際の送信先のIPアドレスが、Torで使われるもののようでそうなると、Torの中のことはすべて匿名化される前提でありかつ世界に分散しているため困難を極めたという文脈のようです。

ただTorというのはクライアント~サーバー通信です。Tor通信が成り立つためには、年金機構側の端末にTorクライアントをどうにかして導入しないとTor通信が成り立ちません。もし送信先のIPアドレスが犯人のものであるのら、そこを解明すれば良いだけです。しかし今回はそれが不可能だったということになります。

標的型攻撃によって配布されインストールされたプログラムに、Torクライアントが導入されていたとすれば理解できます。

インターネットの日本語の情報を見ると、まるで「Tor Browser Bundle」というWEBブラウザーを使うことが唯一のTorの使い方のように見られる記事も散見されるのですが、これは誤解です。Tor自体はオープンソースであり下記サイトにすべての情報があります。

www.torproject.org

 

このサイトの中に、PythonでTorクライアントを作るためのライブラリがあります。Stemです。

f:id:orangeitems:20180520120005p:plain

Pythonの実行環境とStemライブラリとプログラムをインストーラーにして忍ばせればユーザーに知られることなくTor通信を成り立たせることが可能のように思えます。Python自身はサイレントインストールできますしね。

また、Stemのページを見ればわかりますが、HelloWorldからサンプルプログラムまで、実装まで書いてあるのでプログラマーであればそこまで難しくない内容に見えます。

EmdiviがStemを取り込みTor経由でファイルを送信していたとすれば何となく操作が難航するフレームワークが見えてきますがこれは私個人の憶測にすぎません。

 

一連の感想

時効ということであれば、調査内容は今後のセキュリティー業界のためにオープンにしてほしいところです。少なくとも何がTor絡みであると判断したかについては情報が明らかにされることを望みます。