文字サイズ
    ITジャーナリスト三上洋さんが、サイバー犯罪から身を守る術や情報流出対策などを解説します。

    JTB個人情報793万件流出か?…標的型攻撃の巧妙な手口

     JTBのオンラインサービスから793万件の個人情報が流出したおそれがある。原因は標的型攻撃メールを社員が開いてしまい、ウイルスに感染したため。実在する取引先企業のメールアドレスになりすまし、航空券の偽装PDFファイルをメールで送りつける巧妙なものだった。(ITジャーナリスト・三上洋)

    航空券eチケット添付のメールでマルウェアなどに感染させる手口

    • 記者会見で謝罪するJTBの高橋社長(左)ら(14日午後、国土交通省で)
      記者会見で謝罪するJTBの高橋社長(左)ら(14日午後、国土交通省で)

     企業からの大規模情報流出が再び起きた。JTBのオンラインサービスに登録されていた個人情報793万人分が、不正アクセスによって流出したおそれがある。JTBや「るるぶトラベル」などのオンライン予約サービスを使った人、NTTドコモの「dトラベル」、ヤフーの「Yahoo!トラベル」など提携先を使った人も対象になる。

     流出したおそれのある項目は、氏名・生年月日・メールアドレス・住所・電話番号などに加えて、4300件のパスポート番号も含まれていた。クレジットカード番号、銀行口座情報、旅行の予約内容は含まれていない(JTB発表:不正アクセスによる個人情報流出の可能性について)

     原因は「標的型攻撃メール」によるものだ。標的型攻撃メールとは企業などに偽メールを送りつけ、ウイルスに感染させて情報流出を狙うサイバー攻撃のこと。日本年金機構の流出も標的型攻撃によるものだったが、今回のJTBの流出はさらに巧妙な手口が使われていた可能性がある。

     どんなメールで、なぜ感染してしまったのか、JTB広報室に電話で聞いた。手口の分析は後述するとして、正確を期するために一問一答をそのまま掲載する。

    • JTBによる流出のおわび文書。793万人の個人情報が流出したおそれがある
      JTBによる流出のおわび文書。793万人の個人情報が流出したおそれがある

    ――原因となったメールはどんなものか?

     JTB広報室「取引先の航空会社系列企業からのメールで、タイトルは『航空券控え 添付のご連絡』と書かれていた。本文には『お世話になっております』などの通常の挨拶文のあとに、『eチケットを送付しますのでご確認下さい』という趣旨の文章があり、送信元の署名もあった。署名は実在する取引先の会社名・部署と担当者名のものだった」

    ――添付ファイルはどのようなものか?

     JTB広報室「偽装されたPDFファイル(筆者注:文書ファイル)が添付されていた。ファイル名は『E-TKT控え』となっており、受け取った社員が航空券の確認だと思って開封したところ、航空券のeチケット(筆者注:オンライン発行での航空券)が表示された。その時点ではウイルス感染に気づかなかった」

    ――eチケットを「E-TKT控え」というファイル名にするのは一般的か?

     JTB広報室「社内でも使う表記で、航空券のeチケットを『E-TKT控え』として添付して送ることが多い」

    ――偽装されたPDFファイルはウイルスに感染させる実行ファイルだったのか?

     JTB広報室「解析したところ、exe形式の実行ファイルだと判明した。『ELIRKS』と『PlugX』の2種類のウイルスに感染させるものだった」

    ――送信元のメールアドレスはどんなものだったか?

     JTB広報室「メールアドレスの『@』マーク以下のドメインは、実在する取引先企業のもの。『@』マークより前はよくある日本人の名前になっていた」

    ――メールアドレスの偽装によるなりすましだったのか、それとも取引先企業が不正アクセスを受けていたのか?

     JTB広報室「なりすましだと判明している」

    ――ウイルスに感染した台数は?

     JTB広報室「パソコン6台と、サーバー2台が感染した」

     ここでの大きなポイントは、メールの偽装が巧妙なことだ。取引先企業のメールアドレスになりすまして、航空券のeチケットに偽装したファイルが添付されていた。JTBは顧客の航空券の確認だと信じてしまい開封してしまっている。犯人は明らかに旅行会社であるJTBをターゲットにしている。

     実際の取引先の署名があり、メールアドレスもなりますしだが実在するもの、しかも添付されてきたのが「E-TKT控え」という社内でもよく使っているファイル名になっている。実に巧妙な偽装であり、その時点で標的型攻撃メールだと判別するのは難しかっただろう。日本年金機構の標的型攻撃メールではフリーメールが使われていたが、今回は本物のドメインのメールアドレスに偽装していたため見破るのは困難かもしれない(なりすましメールを遮断するしくみがなかったのかは今のところ不明)。

     筆者の推測ではあるが、犯人は実際のメールのやり取りをどこかで入手し、それを参考に標的型攻撃メールを作ったのではないか。とても巧妙な偽装だからだ。もしかしたら、これ以外にどこかでマルウェア感染があり、メールのやり取りが流出している可能性がある。

     原因となったウイルスは、広報室によれば2種類とのこと。そのうち1種は標的型攻撃メールでよく使われるウイルスで、犯人からの遠隔操作で情報の抜き取りなどができるものだ。

    発表が遅れたのは「調査と情報の特定に時間がかかったため」

    • 標的型攻撃メールの開封、ウイルス感染、発表までの時系列。流出のおそれがあるとわかってから発表までに1か月かかっている
      標的型攻撃メールの開封、ウイルス感染、発表までの時系列。流出のおそれがあるとわかってから発表までに1か月かかっている

     今回の流出では、JTBが代行している他社のトラベルサービスの情報も流出している。また、発表が遅れたことも問題になりそうだ。5月13日の時点で情報流出を確認していながら、発表は1か月後の6月14日だった。このことについてJTB広報室に聞いた。

    ――NTTドコモの「dトラベル」も被害を受けているが、なぜJTBでの流出に関係があるのか?

     JTB広報室「オンラインサービスの子会社『i.JTB』では、他社のトラベルサービスの運営を請け負っている。その一つがNTTドコモの『dトラベル』で、弊社からの流出により、『dトラベル』のデータも流出してしまった」

    ――「dトラベル」以外にも流出はあるか

     JTB広報室「他の会社のものもあり、各社へおわびの連絡を差し上げている。現時点では弊社からは発表することができない」

     (筆者注:Yahoo!トラベルからも同様の発表があった)

    ――流出したサービスに「JAPANiCAN(ジャパニカン)」があり英語のサービスだ。流出データには外国人のものも含まれているのか?

     JTB広報室「JAPANiCAN(ジャパニカン)は訪日される外国人向けのサービス。そのため流出データに外国人の個人情報も含まれている」

    ――5月13日に流出がわかってから発表までに1か月過ぎている。なぜ遅れたのか?

     JTB広報室「不正アクセスが継続して起きており、通信経路の遮断をその都度行っていた。そのためサーバーの調査に時間がかかったことが一つの原因だ。また、情報が特定できない段階で公表すると、かえってお客様に不安を与えると判断し、流出情報が特定できた段階で公表させていただいた」

     JTBの発表によれば、3月19日の段階で「本来個人情報を保有していないサーバーにおいて、内部から外部への不審な通信を複数確認」しており、その後に外部のセキュリティー専門会社と協力して調査・分析・対応を行っている。そこから約2か月たった5月13日に「外部からの不正侵入者」が作成・削除したファイルに個人情報が含まれていることを確認。データを分析し復元し終わった6月14日に発表という流れだ。

     つまり怪しい通信が確認されてから3か月、個人情報が含まれていることを確認してから1か月も過ぎてからの発表となる。対応に時間がかかったことは理解できるが、流出した顧客への周知が遅くなったことは否めない。今のところ被害は確認されていないとのことだが、発表が遅くなったことで二次被害が出ることも考えられる。提携先企業からの発表も、15日午前7時の時点ではNTTドコモとYahoo!トラベルの2社のみとなっている。他社からの発表、顧客への周知が遅れていることが心配だ。

     JTBが代行していた他社のサービスでは、15日7時の時点で、NTTドコモの「dトラベル」、及びヤフーの「Yahoo!トラベル」から以下のような発表がある。いずれもJTBから流出があった可能性があるとのことだ。

    JTBの「個人情報流出の可能性」に関する発表について:Yahoo!トラベル公式ブログ

    提携先のJTB社のグループ会社サーバーへの不正アクセスに伴う「dトラベル」の個人情報流出の可能性について:NTTドコモ

    防ぐのが難しい標的型攻撃。企業側の総合的な対応が必要に

     企業からの情報流出が続く中、JTBからの流出は、標的型攻撃メールが巧妙になっていること、個人情報の管理が企業の生命線となることを浮き彫りにした。

     4300件のパスポート番号が流出しているおそれがあるが、再発行の費用をJTBが持つとしても約7000万円かかる(10年のパスポートの場合)。しかも、今回の場合は外国人のパスポートも含まれているので、これよりも手数料が高い国もあるかもしれない。加えて、793万人に対して何らかのおわびをするコストもかかる。JTBは今回の流出で大きな負担を強いられるだろう。提携先サービスでの流出も起きたことから、JTBへの信頼も揺らいでいる。

     日本年金機構での流出から、標的型攻撃への対策が急務となり、大手企業の多くはセキュリティー対策を強化している。しかし、今回のような巧妙な標的型攻撃メールはだまされる可能性が高く、メールの開封をゼロにするのは難しいと考えられる。

     そのため企業では、開封しても感染を最小限にする手立てや、感染を早く気付くしくみ作りが重要だ。併せてメール添付の実行ファイルを実行させないしくみ、なりすましのメールやフリーメールを受信しないしくみが必要だろう。そして最大のポイントは個人情報管理だろう。顧客情報を置くデータベースサーバーへのアクセスを制限すること、端末が感染してもサーバーからの流出を防ぐシステムが重要になる。

     私たち一般ユーザーには残念ながら、企業からの情報流出を防ぐ手立てはない。しかし、メール添付でウイルスに感染させるサイバー攻撃は、個人でも被害が出ている。メールの添付ファイルを安易に開かないことが大切だ。たとえ知っている人からのメールであっても「その添付ファイルは本当に必要なのか?」と立ち止まって考えるクセをつけたい。

     なお、流出の対象となる人へは順次、メールで連絡が来るとのことだ。利用者はJTBのオンラインサービスに登録しているメールアドレスをチェックしよう。データを悪用したと思われる不審な連絡や被害を受けた場合は、下記のフリーダイヤルで相談してほしい。

    ・JTBによるお客様特設窓口・専用フリーダイヤル:0120-589-272、受付時間:09:00~20:30(土・日・祝含む)

    参考記事

    知らぬ間に被害~標的型サイバー攻撃活発化:サイバー護身術

    34組織で年金機構と同じウイルス感染か:サイバー護身術

    不正アクセスによる個人情報流出の可能性について:JTB

    2016年06月15日 10時30分 Copyright © The Yomiuri Shimbun
    プロフィル
    三上洋   (みかみ・よう
     セキュリティ、ネット活用、スマートフォンが専門のITジャーナリスト。最先端のIT事情をわかりやすく解き明かす。テレビ、週刊誌などで、ネット事件やケータイ関連の事件についての解説やコメントを求められることも多い。
    おすすめ
    PR
    今週のPICK UP
    PR
    今週のPICK UP