JTB不正アクセス(標的型攻撃)により793万人分個人情報漏洩か!?|サイバーセキュリティ.com

JTB不正アクセス(標的型攻撃)により793万人分個人情報漏洩か!?



大手旅行会社、株式会社ジェーティービー(以下JTB)は2016年6月14日、顧客の個人情報が不正アクセスにより流出した可能性があるとの発表を行いました。

流出の可能性がある情報はおよそ793万人分。
現時点でわかっている情報をまとめていきたいと思います。

事件概要

JTBJTBによると、旅行商品をインターネットで販売する子会社「i・JTB」の社員が3月15日に取引先の航空会社を装ったメールの添付ファイルをパソコンで開き、パソコンとサーバが標的型ウイルスに感染したとのことです。

当該メールアドレスは「ごくごく普通のありがちな日本人の苗字@実在する国内航空会社のドメイン」であり、添付されていたpdfファイルは北京行のEチケットであったため、それがウイルスメールだとは最後まで気づくことが無かったそうです。

同月に不審な通信が確認され、不正にサーバ内に作成・削除されたデータファイルを発見し、同ファイルに個人情報が含まれることが判明しました。

同社の取締役経営企画部長でIT企画を担当する社員は、発表が6月になった事について「お客様の特定ができないままにご案内することで、不安感を与え混乱を招くと判断した」と2016年6月14日の記者会見で説明しています。

流出した恐れのある情報

  1. 顧客の氏名(漢字・カタカナ・ローマ字)
  2. 性別
  3. 生年月日
  4. メールアドレス
  5. 住所
  6. 郵便番号
  7. 電話番号
  8. パスポート番号
  9. パスポート取得日

※8・9のうち、現在も有効なものは約4300件

対象となる顧客

  • JTBホームページ
  • るるぶトラベル
  • JAPANiCAN

上記3サービスにてオンライン予約を行った顧客、または、JTBグループ内外のオンライン販売提携先(NTTドコモ dトラベル、Yahoo!トラベル)でJTB商品を予約した顧客。

対象外となる顧客

以下商品を予約した顧客情報は流出の対象外となっています。

  • JTB旅物語
  • 高速バス
  • 現地観光プラン、レジャーチケット、定期観光バス
  • レストラン
  • 海外ダイナミックパッケージ
  • 海外航空券
  • 海外ホテル
  • 海外現地オプシナルツアー―
  • その他旅行関連商品(保険、積立 等)

以下店舗において予約した利用者の個人情報も流出の対象外となっています。

  • JTB店舗
  • 提携販売店店舗
  • JTB旅物語販売センター

その他、ネットで予約後に店舗で清算をした顧客の情報も流出の対象外とのことです。

流出対象となる予約期間

  • JTB        2007年9月28日~2016年3月21日
  • NTTドコモ    2014年2月27日~2016年3月21日
  • Yahooトラベル  詳細不明

発表までの経緯

2016年3月15日 取引先を装った不審メールが届く
添付ファイルを開いたことで、i.JTBの端末がウィルスに感染
※この時点では感染に気が付かず
2016年3月19日
~3月24日
i.JTB内、個人情報を保有しないサーバにおいて、内部から外部への不審な通信が発生
2016年3月20日 JTBが不審な通信先の遮断措置を開始
2016年3月21日 何者かによりi.JTBのサーバ内にデータファイルを作成
2016年4月1日 不審な通信を特定し、遮断
外部からの不正侵入者により作成削除が行われたファイルを確認
外部のセキュリティ専門会社と共同でウィルスを駆除
データファイル復元と、不正アクセスの調査開始
2016年5月13日 復元したデータファイルに個人情報が含まれることを確認
JTB内に事故対策本部設置
同日 データの正規化に着手。復元したデータファイルに約93万人分の個人情報が含まれていることが判明
2016年5月30日 警視庁へ被害相談
2016年6月2日 i.JTBよりNTTドコモへ個人情報漏洩の可能性を報告
2016年6月10日 JTBからNTTドコモへ調査結果を報告
2016年6月14日 JTBが不正アクセスによる顧客情報漏洩の可能性につき発表
同日 NTTドコモがJTB提携サービス(dトラベル)で顧客情報漏洩の可能性について発表
同日 Yahoo!JapanがJTB提携サービス(Yahoo!トラベル)で顧客情報漏えいの可能性について発表。
同日 警視庁が本件についての捜査に着手したことを報道
同日 JTBが7月1日付でITセキュリティ専任統括部門の設置することを決定

顧客への対応

JTBでは、流出の可能性がある顧客に対しメールにて連絡を行うとともに、専用の相談窓口を設置しています。
現時点では、個人情報流出の事実は確認できておらず、情報悪用等の二次被害も確認されていません。

【JTBお客様特設窓口】
専用フリーダイヤル:0120-589-272
受付時間:09:00~20:30(土・日・祝含む) [/colored_box]

【dトラベルお客様特設窓口 
フリーダイヤル : 0120-569-222
受付時間 : 午前9時~午後8時30分(土曜・日曜・祝日含む)

現時点までに行われたセキュリティ対策

現時点で、JTBより発表されているセキュリティ対策は下記です。

  • 特定された外部への不審な通信の遮断
  • 感染範囲の特定とウィルスの駆除
  • 個人情報へのアクセス制御の強化

JTBグループ全体としての今後の取組み

  • JTB(グループ本社)内にITセキュリティ専任統括部門を設置し当該部門がITセキュリティ専門会社との連携をはかる
  • 現在実施しているグループ社員へのITセキュリティ教育については、実践的な講習でサイバー攻撃の察知力を高めていく

観光庁が目指す”業界全体”での再発防止

≪2016/7/8≫旅行業界情報流出事案検討会

≪2016年7月8日≫旅行業界情報流出事案検討会

2016年7月8日、JTBでの情報漏洩事件を受け、観光庁は有識者による「第1回旅行業界情報流出事案検討会」を開催しました。

会議では、JTBが行った改善処置の状況と専門家による評価を始め、観光庁の対応における問題点や改善点が話し合われました。

観光庁としては、旅行業界全体での再発防止を目指していますが、自社内で体制を整備できる大手と、予算確保が困難な中小企業とでは、セキュリティレベルを一定にすることは難しく、それぞれを分けて考える必要があるとしています。

また、会議に参加した国土交通省大臣官房サイバーセキュリティ・情報化審議官の佐々木良氏は、「サイバー攻撃を受けた時点では被害者だが、情報流出が発生した時点では顧客に対して加害者であることを認識すべき」と述べ、インシデント対応時に見受けられる企業側の被害者意識による対応の甘さに対し忠告を行いました。

会議内で発表のあった7月現在のJTBの対応状況としては、6月14日~7月7日の期間で3万件を超える問い合わせがあり、徐々にその頻度は収束に向かってきているとのこと。

JTBでは、今後も引き続き「知らないメールが届く」等の顧客問い合わせに対し、真摯な対応を続けていくとしています。

【参照】
https://www.nttdocomo.co.jp/info/notice/page/160614_00_m.html


SNSでもご購読できます。