カテゴリー: I　C　T

昨日に引き続き、総務省が18億円を捨ててしまった大失態。セキュアゾーンの構築にかかった期間中の総務相は現総務相でもある高市早苗氏ですね。大臣の耳にどれだけ届いていたんでしょう。また、同じ期間の事務次官は櫻井俊氏、嵐の櫻井翔君のお父様みたいです。

なぜこんなことが・・・

会計検査院の指摘では、「セキュアゾーンの整備を決定するにあたり、取り扱う情報の重要度に応じた対策の選択肢、各対策に対する需要の規模、および当該需要を踏まえた費用対効果を把握することが十分できていない」とあります。また、意思決定過程の資料も総務省に残っていないそうです。話になりません。

厚生労働省と農林水産省が一旦使用の希望をしたようですが、彼らユーザーの期待に応える代物ではなく、最終的に誰も使用していません。通常、システムを構築する場合、ユーザーとの間で要件定義がじっくり行われ、仕様が固まります。

そのため、今回のようにシステムが堅牢すぎて使えない（仕様通りになっていない）、、、なんてことがあると、ベンダー企業との間で訴訟等に発展するわけです。しかし、ユーザー不在でベンダーに丸投げみたいになっていると、こんなふうになるんですね。総務省側に訴訟を起こせるほどしっかりした資料（証跡）も残ってないんでしょう。

日本年金機構の大惨事を見て、上層部の誰かが「とにかく政府システムで機微情報が流出しないよう、100％安全な対策を取れ！」と指示。指示された方は大急ぎで、言われた通りに、めちゃくちゃ安全性の高いセキュアゾーンをこしらえました。「しかし、システムが堅牢すぎて、どの省も使えないと言ってます。。。どうしましょう。」みたいな感じです。笑い話ですね。

また野党が騒ぐのかな

冒頭書いたように、このセキュアゾーンの検討から構築にかけての期間の総務大臣は第3次安倍内閣時代の高市早苗氏（現職）です。そして当時の事務次官は櫻井氏（すでに退官して今は電通の取締役）だったりします。ネームバリューのあるお二人ですし、また野党の標的にされちゃいそうですね。

今月上旬、一部報道で伝えられていましたが、正式に会計検査院から調査の結果が公表されました。サイバー攻撃対策として18億円をかけて設けられたセキュアゾーンという名前のシステムが、一度も使われることなく2年間で廃止されたということです。

ことの経緯

政府が使用する情報システムを統合した政府共通プラットフォームは平成25年3月に運用を開始しています。27年5月に日本年金機構がサイバー攻撃を受け、個人情報が外部に流出しました。

これを受け、各省にサイバーセキュリティ対策推進会議議長指示が通知されました。「政府情報システムのうち、機微度の高い情報を扱う部分と、インターネット等の分離を進める計画をまとめて報告せよ」というものです。

この指示に基づき、総務省は政府共通プラットフォームへの機能追加で、セキュアゾーン（ネットと繋がらない安全地帯みたいなもんですね）を整備しようとします。27年8月には各省に対して、セキュアゾーンの利用希望の調査を実施しています（調査と呼べるほどのものではないけど）。

その後、28年の4月と9月に後述の民間業者とセキュアゾーン整備等の契約を結び、29年4月に政府共通プラットフォームにおけるセキュアゾーンの運用を開始しています。

契約の内容　NTTデータ　東京センチュリー

システムの運用や機器の管理を目的とした契約はNTTデータと締結。5年間で8億5千万円（うちセキュアゾーン関連で3億6千万円）となっています。半年後の9月、セキュアゾーンの整備に係る設計作業請負等を目的とした契約を東京センチュリーと締結。同じく5年間で20億円です。

運用は開始したものの、使われないまま費用を負担し続けることになるため、今年3月、契約期間を2年短縮する変更契約を締結し、セキュアゾーンを廃止しました。変更後の契約額は18億9千万円ということで、報道等ではこちらの金額が使われています。事実関係だけで今日はお終い。何でこんなことになったのか、、、続きは明日にでも。

ワン切り詐欺に続いて今回はフィッシング詐欺です。偽物のサイトに誘導してIDやパスワードを入力させ、これを盗み取るわけですが、従来は誘導の手段がメールでした。ところが最近はSMSによる誘導が増えてきています。スミッシングというんだそうですが、、、これまた、kuniのところにも来ています。

佐川急便や日通でも

このスミッシング、佐川急便の偽サイトでかなり有名になりましたよね。SMSを確認すると、「お客様宛にお荷物のお届けにあがりましたが不在のため持ち帰りました。配送物は下記よりご確認ください。」という内容。下記には佐川急便の偽サイトのリンクが張ってあります。

最初にこのニュースを見た時には、正直、考えたやつ凄いなぁ、、、って思いました。このSMSだったら、偽サイトへのリンクポチっと押しちゃいますよね。そういう才能、もっと真っ当な世界で活かしてくれよって感じです。後に日通でも被害があったようですし、1500件以上の類似ドメインが取得されていたことも報道されてました。

なぜ、いまSMS？

では何で今SMSが利用されるのか、なんですね。パソコンのメールのようにアドレスを取得する手間がなく、電話番号だけで済むこと。スマホは常時電源が入っていて、相手にすぐ届くこと、などが考えられます。そして最も大きな理由が、一時被害者のスマホを乗っ取って、二次被害者に偽SMSを送り付けることができるようになったからだそうです。

一次被害者が偽サイトで不正なアプリをインストールさせられ、そのアプリがスマホの電話帳登録先（二次被害者）に偽SMSを送り付ける、、、なんてことまでしてしまうみたいです。かなり端折って書きましたが、SMS恐るべしです。よく知っている会社であっても、SMSのリンクからサービスは利用しないこと！！！　皆さんもお気を付けください。

皆さんもよくご存じのGPS（グローバル・ポジショニング・システム）。GPSは全地球測位システムとも呼ばれる、アメリカによって運用される衛星測位システムです。もともとは軍事用に開発されたものですが、民間にも開放されました。この分野でも中国の躍進が続いており、GPSが運用する衛星数31個を上回り、中国は35個を運用しています。その名も北斗。

GNSS（グローバル・ナビゲーション・サテライト・システム）

中国の運用拡大により、GPSを総称として使うのってどうなのよ。ってことになってきたわけで、あらためてこれらを総称してGNSSと呼ぶようになってきています。グローバル・ナビゲーション・サテライト・システムです。これには米国のGPS、中国の北斗、ロシアのGLONASS、EUのガリレオが含まれています。

一方で全地球をカバーはしませんが、全地球型システムと組み合わせて使用することを前提とした、日本の準天頂衛星システムやインドの地域航法衛星システムもあります。日本では「みちびき」です。以前、運用開始で話題になりましたね。

スマホでも

我々が使用しているスマホにもGPSの電波を受信する機能が備わっています。そのおかげで誰でも知ってる用語になったわけですが、中国では北斗による全世界対象の運用を2018年末から開始しています。世界で販売されている大半のスマートフォンが対応可能とも伝えられてました。

この北斗の恐ろしいところ。それはGPSと違って、受信機側（スマホ）の位置情報が衛星側に伝わる可能性があることです。つまり中国政府が利用者の位置情報を得ること、これが理論的には可能ということ。悪意を持った利用者の追跡やら、サイバー攻撃といった困ったことに使われなければ良いのですが。