(概要
株式会社JTBのインターネット販売を主とするグループ会社である、株式会社i.JTBのサーバーに外部からの不正アクセスがあったと、株式会社JTBが発表しました。
本事件は標的型攻撃によるもので、その内容は取引先を装ったメールタイトル・本文、さらには取引先の使用しているものと同一のアドレスドメインからの送信により、同社員を信じこませ、巧みに添付ファイルを開くように誘導し、ウイルス感染を引き起こしたものでした。
パソコン内に侵入したウイルスを用いて、外部者が本来、個人情報が<保管されていない>サーバーにデータを作成したり・削除したりといった不正操作をおこなっていた模様です。
その削除されたデータを復元したところ、個人情報が含まれていることが判明し、本件が公表されました。
タイムライン
2016年03月15日(火)
取引先を装ったメールの添付ファイルを社員が開け、i.JTBのパソコンがウイルスに感染。
2016年3月19日(土)~24(木)
i.JTBの個人情報を保管していないサーバーに、内部から外部への不審な通信が複数回発生。その後不審な通信を特定し、遮断。ネットワーク内の全てのサーバーならびにパソコンを調査。
2016年3月21日(月)
外部からの侵入者がサーバー内にデータファイルを作成したり、削除したりといった不正操作をおこなっていたことが判明。
2016年4月1日(金)
不正操作の痕跡を発見。その後、セキュリティ専門会社と共同で、ウイルス駆除、不正アクセスの調査・分析・対応、削除されたデータファイルを復元作業開始。
2016年5月13日(金)
復元したデータファイルに個人情報が含まれることが判明し、本件が発覚。ただちにJTBグループ本社に事故対策本部を設置。
原因
弊社の見解
メールでの添付ファイルのやりとりが日常業務で頻繁に発生する点を考慮した、マルウェア対策が不十分であったと考えられます。マルウェア攻撃を完全には防げないという考えを軸に据え、従業員教育にてマルウェアの察知力を向上させるとともに、マルウェア検知ソフトウェアなどの重層的な対策が講じることがベターかと思われます。
被害
「JTBホームページ」「るるぶトラベル」「JAPANiCAN」や、その他JTBグループ関連販売会社からオンラインで商品予約をした人、約793万人の下記項目の個人情報が流出した可能性があります。
流出した可能性のある個人情報
- 氏名(漢字、カタカナ、ローマ字)
- 性別
- 生年月日
- メールアドレス
- 郵便番号・住所
- 電話番号
- パスポート番号(※1)
- パスポート取得日(※1)
(※1)流出したおそれのある情報の中で、現在も有効なパスポート情報は約4,300件だそうです。
二次被害
本件をうけて、第三者が同社を装った「なりすましメール」が発生しました。
同社はなりすましメールだけでなくフィッシングサイトへの誘導も考えられるとして、注意喚起を行っております。
対応
JTBは、該当するお客さまへは順次、登録しているメールアドレス宛に連絡を送付しています。
また、以下項目については実施済みとのことです。
- 特定された外部への不正な通信の遮断
- 感染範囲の特定とウイルスの駆除
- 個人情報へのアクセス制限の強化
- 警察への相談
今後の対策計画としては、JTBグループ本社にてITセキュリティ会社と連携した、ITセキュリティ専任統括部門の設置や、社員へのサイバー攻撃阻止訓練を行うと公表しています。
2016/07/04 追記
また、観光庁は6月25日に、JTBによる国助成九州旅行商品の販売を当面は認めないことを発表しました。
同商品は、今年起きた熊本地震復興支援として国が助成をおこない、九州旅行を格安提供する「九州ふっこう割」適用商品のことです。
また、国の動きとして、本件を受け国交省が有識者委員会を設置したり、観光庁による旅行会社との情報共有会議が開催され、相次いで狙われる旅行業界のセキュリティ強化を図っています。
関連情報
株式会社ジェイティービー
「不正アクセスによる個人情報流出の可能性について」(2016/06/14)
「個人情報流出の可能性があるお客様へのご連絡について」(2016/06/16)
「なりすましメール」や「フィッシングメール」にご注意ください」(2016/06/17)
ITpro「[詳報]JTBを襲った標的型攻撃」(2016/06/15)(魚拓)
2016/07/04 追記
日本経済新聞「JTB情報漏洩、国交省が有識者委設置へ」(2016/6/17)(魚拓)
Travel vision「観光庁、旅行会社と「情報共有会議」、JTB問題受け」(2016/6/28)(魚拓)
