JTB　不正アクセス事件について

こんにちは。情報セキュリティ・コンサルタントの赤股です。
昨晩　JTBの不正アクセス事件が報道されました。約793万件の顧客情報が漏えいした可能性があるようです。さっそくまとめ記事も出ていますね。
 
事件の発端は２０１６年３月１５日、「i.JTB端末」のマルウェア感染でした。
※i.JTBはJTBグループのインターネット販売を担当するJTBグループ会社。
3月19日にシステム監視会社から不正な通信が検出されたと報告を受けていたようです。
JTB側で不審な通信先の通信遮断を開始したのが3月20日、完了したのが3月25日のようです。
恐らく情報が漏えいしたのは3月21日。何者かがサーバ上にcsvファイルを作成し、その後削除している痕跡が残っていました。タッチの差で遮断が間に合わなかったようです。削除されたデータを解析し、漏えいした顧客情報の全容が判明したのだと思います。
csvファイルの存在を把握したのが4月1日、データを復元してcsvファイルの内容を把握できたのが5月13日です。
発覚から公表までの対応が遅い印象があるのですが、データのサルベージに時間を要したようです。
 
今回の不正アクセスは、典型的な標的型攻撃なのですが、攻撃に用いられたメールも中々手が込んだものでした。
送信元は、実在する航空会社のメールアドレスに偽装されていました。
件名は「航空券控え 添付のご連絡」であり、内容もマルウェアメールとは思えない、しっかりしたものでした。
添付ファイルは「E-TKT控え」という名称で、E-TKTも頻繁に使用される社内用語でした。
EXEファイルだったのですが、PDFファイルに見えるようにアイコンを偽装していたようです。
これなら引っ掛かる人がいても仕方がないですね。
 
当たり前のことを書きますが、標的型攻撃への対策はやはり難しい。
メールというコミュニケーションツールの使い方そのものを見直さないと感染を防ぐことはできません。
メールソフトなども、標的型攻撃によるマルウェア感染のリスクに対応したものが開発されるべきかもしれません。（とても不便になりそうですが）
また、今回のケースではマルウェア感染した端末から大量の顧客情報にアクセスできたことが分かっています。リスクの影響範囲を最小化するためには業務の進め方の見直しも必要でした。
引き続き続報が報道されるものだと思います。JTBを叩くのではなく、この事件から学ぶことが重要だと考えます。

一覧へ