http://www.asyura2.com/16/hasan109/msg/820.html
| Tweet |
旅行最大手JTB、顧客パスポート情報流出で信用失墜…1カ月も事故隠蔽、甘い安全対策
http://biz-journal.jp/2016/06/post_15513.html
2016.06.16 文=三上洋/ITジャーナリスト Business Journal
JTBのオンラインサービス「るるぶトラベル」。ホテルやツアー予約で利用している人が多い。
JTBのネットサービスで793万人もの個人情報流出事件が起きた。不正アクセスによるもので、犯人からの標的型攻撃メールを社員が開封してしまいウイルスに感染。その結果、住所・氏名・電話番号・メールアドレス、さらには4300件の有効なパスポート番号までが流出している。
ちょうど1年前に日本年金機構で125万件の個人情報流出が起きているが、この時も標的型攻撃メールによるものだった。標的型攻撃とは、企業や自治体などからの情報を盗み取るサイバー攻撃のこと。その1つが標的型攻撃メールで、犯人が偽メールを送りつけ、添付ファイルを開封させるなどの手口でウイルス感染させようとする。
■巧妙すぎる偽メールでJTB社員が開封、ウイルス感染して情報流出
今回のJTBの事故でも、巧妙な標的型攻撃メールがJTB社員に送られていた。メールの内容を再現してみよう。以下は、JTB広報室の発表に基づき筆者が再現したもの。
・タイトル:航空券控え 添付のご連絡
・送信元:●●航空 aaaaaa@●●●.co.jp
・本文:お世話になっております。eチケットを送付しますのでご確認下さい。●●航空 担当者名
・添付ファイル:E-TKT控え.pdf
とても巧妙な偽メールである。航空券のeチケット(オンライン発行での航空券)を確認のために送る、という内容で、JTBの社員は信じて添付ファイルを開いてしまった。旅行会社なのだから、航空券の確認が航空会社の関連会社から来たら、開いてしまっても不思議ではない。
送信元はJTBの取引先の航空関連会社であり、メールアドレスのドメイン(メールアドレスの@以下の部分)も取引先の正式なもの。実際には海外のレンタルサーバーから送られていたが、表示上は正式なメールアドレス(なりすまし)なので偽物と判断するのは難しい。
6月14日に発表されたJTBからの情報流出のお詫び。「流出の可能性がある」という表現に留まっているのは、通信の記録を保存していなかったためだと推測できる。
さらにPDFの文書ファイルを装ったものが、航空券のeチケットとして添付されていた。ファイル名は「E-TKT控え」で、eチケットでよく使われるファイル名である。ところが実際にはウイルスの実行ファイルであり、ダブルクリックして開くとウイルスに感染する。JTB広報室によれば、「ELIRKS」と「PlugX(プラグエックス)」という2種類のウイルスに感染したとのこと。「PlugX」は日本の企業などを狙った標的型攻撃で、昨年からよく使われているウイルスだ。
このように標的型攻撃メールは、普段やり取りしているメールとそっくりなものが送られてくる。今回のJTBの流出では、旅行会社であることを承知の上で、犯人は航空券のファイルに偽装したものを「おとり」として使っている。
この1年間で多数発生している標的型攻撃メールの被害でも、添付されたファイルはその会社の業務に合わせたものが多い。たとえばセミナーの案内、健康保険の文書、e-Taxの利用案内、収支決算書などのファイルがおとりに使われている。業務に合わせたものなので、開いてしまう可能性が高い。
開いてしまったJTBの社員を責めることはできない。あまりに巧妙な偽装だからだ。問題があるとすれば、JTBのセキュリティ対策だろう。メールアドレスを偽装したなりますしメールを除外する仕組みがあれば、今回の被害は防げたと思われる。もしくは標的型攻撃メールを開いてしまっても、ウイルス感染を最小限に留める仕組みが必要になる。
訪日観光客向けのオンライン予約サービス「JAPANiCAN(ジャパニカン)」。ここからの情報流出が起きている。
■代行している「dトラベル」「Yahoo!トラベル」も流出、JTB側の責任は重大
今回の事故では、問題点が3つある。ひとつはJTBによるセキュリティ対策の甘さだ。
ウイルス感染があって外部との不正な通信が確認され、犯人によって793万件の個人情報一覧ファイルがつくられていた痕跡が確認されている。当然ながら流出は起きているだろう。
しかしながらJTB側の発表は「流出の可能性がある」として、可能性という表現に留まっている。理由は、通信ログが保存されていなかったからだ。JTBの会見では「犯人によるファイルの作成・削除は確認できたが、外部に送ったログを確認できない」とこと。通信のログが保存されていないのは、JTB側のセキュリティ対策の甘さといえそうだ(保存していなかったのか、犯人に削除されて復活できないかは不明)。
2つめの問題は、提携企業の情報まで流出していることだ。流出を起こしたJTBのオンラインサービス子会社「i.JTB」では、他社のトラベルサービスを代行するかたちで運営している。793万件の流出にはこの提携先が含まれており、NTTドコモのdトラベルで33万人、ヤフーのYahoo!トラベルの「JTBコース」などでも人数は不明だが流出が起きている。
提携企業から見れば、もっとも信頼できるはずの旅行最大手JTBを使っていて流出被害に遭っているわけで、予想外の被害といえるだろう。JTBは提携企業に対して、なんらかの損害賠償をする必要がありそうだ。
3つめの問題は、被害後のJTBの対応が遅れたことだ。最初に怪しい動きが確認されたのは3月19日だが、すぐには通信を遮断しなかったと報道されている(NHK報道による)。これが事実とすれば、日本年金機構流出での反省点が生かされていなかったことになる。
また、発表までに時間がかかったことにも疑問がある。不審な通信を確認したのが3月19日、外部からの不正侵入者が個人情報ファイルを作成・削除したことを確認したのが4月1日、ここに個人情報があることがわかったのが5月13日、そしてようやく6月14日に発表された。
不正な通信を確認してから3カ月、個人情報流出がわかってから1カ月もたってからの発表だ。流出の被害に遭った顧客に対しての連絡があまりに遅いといわざるを得ない。JTBでは「調査に時間がかかった。流出内容が特定できない段階で公開することでお客様に不安を与えると判断した」とのことだが、遅れたことで逆に信用を失ってしまうだろう。事故後の対応の遅れが問題だ。
■流出への補償やセキュリティ対策で100億円以上の出費もあり得る
JTBは上場していないため株価への影響はないもの、収益には大きな影響を与えそうだ。
今回の流出による損失額はわからないが、他企業の過去の流出事故から推測してみたい。
2014年に起きたベネッセの情報流出では、顧客へのお詫びとして200億円、情報セキュリティ対策費用として60億円、合計260億円の損失を出し、通年で赤字決算(2015年3月期)となった。
ベネッセでの流出件数は約3500万件、JTBは793万件と約4分の1から約5分の1だから、これより規模は小さくなるだろう。JTBにあてはめて単純計算すると、お詫び費用だけで40億円から50億円規模になるかもしれない。
しかしながら提携企業へのお詫びや、パスポート番号4300件が含まれており再発行の手数料を負担する可能性があること、また訪日した外国人観光客の個人情報を含んでいることを考慮すると、さらに損失が大きくなる可能性が高い。100億円以上の損失になることも考えられる。
JTBの2016年3月期の決算は、売上高は1兆3437億円もあるものの、営業利益は161億円で営業利益率はわずか1.2%しかない。旅行代理店は利幅の薄いビジネスであり、今回の流出によって利益が吹っ飛ぶこともありそうだ。
また、JTBの企業ブランドも低下しそうだ。提携企業の顧客情報が漏れたこと、外国人向けのサービス(JAPANiCAN:ジャパニカン)でも流出があったことから、JTBへの信用が低下することは必至だ。20年の東京オリンピックを控えているのに、旅行最大手のJTBのオンラインサービスで流出が起きたことは、日本の観光業界全体にダメージを与えることも考えられる。
JTBは顧客へのお詫びをできるだけ早く行い、事件の徹底的な究明をしてもらいたい。すべての情報を公開し、対策を見直すことでしか信用を取り戻す術はないだろう。
併せてJTB以外の企業でも、改めてセキュリティ対策を強化することが大切だ。標的型攻撃は企業に侵入し、長期間にわたって潜伏して情報を盗み取ろうとする。犯人は発覚しないための隠蔽工作を行うため、侵入に気づいていない企業もある。自社のネットワークで問題が発生していないか、改めてチェックする必要がある。
(文=三上洋/ITジャーナリスト)
投稿コメント全ログ コメント即時配信 スレ建て依頼 削除コメント確認方法
▲上へ ★阿修羅♪ > 経世済民109掲示板 次へ 前へ
スパムメールの中から見つけ出すためにメールのタイトルには必ず「阿修羅さんへ」と記述してください。すべてのページの引用、転載、リンクを許可します。確認メールは不要です。引用元リンクを表示してください。