JTBで最大793万人の個人情報が流出したようです。
旅行を予約する場合、住所や電話以外にパスポート番号などを入力しないと、予約できないシステムになっているので、もっとしっかり顧客情報を管理してよって思いますけどね。もう最悪です。JTBは情報リテラシー低すぎますよね。
早速JTBでは特設ページを開設して謝罪しています。気になる方はフリーダイヤルに電話すれば、自分の情報が流出したかどうか教えてくれますよ。その際に必要な個人情報は、氏名・電話番号・生年月日です。
- フリーダイヤル:0120-589-272
- 受付時間 9:00〜20:30(土・日・祝も)
【含まれていた個人情報】
①氏名(漢字、カタカナ、ローマ字) ②性別 ③生年月日 ④メールアドレス
⑤住所 ⑥郵便番号 ⑦電話番号 ⑧パスポート番号 ⑨パスポート取得日
※なお、⑧パスポート番号、⑨パスポート取得日のうち、現在も有効なものは約4,300件になります。
対象となるお客様
「JTBホームページ」「るるぶトラベル」「JAPANiCAN」のオンラインでご予約されたお客様、またはJTBグループ内外のオンライン販売提携先(提携サイト)でJTB商品をご予約されたお客様の情報となります。
なぜ個人情報が流出したのか?
JTBの個人情報の流出に対する危機意識が低かったからです。
だって、日本最大の旅行会社なのに、顧客情報が抜かれるリスクがあることを全然理解してないんだもん。それは以下のやり取りを見れば明らかです。「なんの不信感もなかった」とか言ってる時点でダメ。
発端は、3月15日。「i.JTB」のオペレーターが開いたメールには、ウイルスが仕組まれていた。「なんの不信感もなかった。極めて巧妙な内容であり、やむを得なかった」6月14日に国道交通省で開かれた会見で、金子和彦・経営企画部長(IT企画担当)は、メールの内容についてこう説明した。
件名は「航空券控え 添付のご連絡」。メールアドレスは、「ごくごく普通のありがちな日本人の苗字@実在する国内航空会社のドメイン」だった。メールに本文はなく、PDFファイルが添付されていた。「北京行きのEチケット」。本物の可能性もある精巧なものだった。
ウイルスが仕組まれているとは気づかず、オペレーターはこのファイルを開いた。書かれていた乗客の名前をシステムで検索しても、該当する名前は見つからない。そのままこのオペレーターは、メールの送り主に「該当はありません」と返信までしていたという。ウイルスメールだとは、最後まで気づかなかった。返信後、すぐにエラーメールが戻ってきた。その時点でオペレーターは、異変に気付くことができなかった。
数日後、サーバー内部から海外への不正な通信が見つかった。原因として疑われたのが、このメールだった。アドレスは間違いなく、実在する航空会社のもの。しかし、事案の発覚後、メールの詳細が記されている「ヘッダー」を確認すると、実際はレンタルサーバーから送られてきたものとわかった。アドレスは、偽造されていた。
この説明を読むと、日本の大企業のセキュリティーの低さに驚くんだけど、これが日本の大企業のセキュリティーに対する実態です。情報リテラシー低すぎです。
ウィルスを仕込む側に立てば、国内航空会社のドメインを偽装しますよね。添付ファイルを開いてくれる可能性が高くなりますから。
それくらい誰でも分かることなので、社内のシステムのセキュリティーレベルを上げるとか、社員のリテラシーを教育するとか、抜本的な対策打をお願いします。ハッカーを雇ってもいいんじゃないかな。
eチケットの添付はやめるべし
eチケットをPDFで添付する航空会社なんて今どきあるのでしょうか?
国内大手2社のJALとANAのeチケットの発行方法を調べました。
オンラインで航空券を購入した場合、以下の2通りのどちらかです。
- 購入時の画面に出てくるQRコードを印刷する
- メールアドレスにQRコードへアクセスできるURLが入ったリンクが送られてくる
予約センターに電話した時に、「eチケットをPDFで添付しないんですか?」と聞いたら、そういうシステムにはなっていませんと言ってました。
eチケットは航空会社によって、メール本文を印刷したり、メール本文にあるURLからQRコードを取得したりということになっています。
わたくしの実体験ですが、あくまで個人と航空会社の間でeチケットを発行する際は、QRコードってところが多いと思います。
ちなみにユナイテッド航空のマイレージを使って旅行をする場合、メール本文をプリントアウトするような仕組みになっています。PDFの添付ではありません。
旅行会社と航空会社のやり取りの場合、もしかしたらPDFでeチケットを発行というのもあるのかもしれません。こういう事件は今後もあるだろうから、まだPDFでeチケットを添付をしている航空会社があったら、早くやめた方がいいです。
JTBの対応は遅かった
現場担当者が、PDF添付のeチケットを開封してしまうのは、ある程度しょうがないと思うんですよね。人間だからミスもあるしね。
事後のJTBの対応が遅いのが問題です。
3月15日に標的型のウイルスが仕込まれていて、数日後には、サーバーから海外への不審な通信を確認したにも関わらず、警視庁へ相談したのが5月末って遅すぎませんか?
標的型攻撃メールへの対策
JTBだけでなく、顧客の個人情報を扱っている会社は、個人情報の流出するリスクと常に隣り合わせです。
海外のハッキング集団から見ると、個人情報を持ってる企業は宝の山ですからね。あの手この手で、個人情報を扱っているサーバーへの攻撃を仕掛けてきます。
どんな攻撃があるのかというと、標的型攻撃メール。あとは、持ち出し型と呼ばれる内部の人間に個人情報を持ちださせるもの。
どちらが多いかというと、圧倒的に標的型攻撃メールが多いです。業務になりすまして、添付ファイルを開かせてウィルスに感染させるという手法に引っかかるのは、初心者だけなんだけどね。
もっと巧妙にやる方法いくらでもありますもん。
標的型攻撃メールの見分け方
標的型攻撃メールはどんどん巧妙化しています。以下、3つのケースで見分け方を見ていきましょう。
メール送信者を偽装するケース
最近はフリーメールアドレスではなく、メール送信者は取引先などを偽装してくるので、送信者のドメインだけで信用してはダメ。
- 取引先からのメールで、本文URLや添付ファイルを開かざるを得ない
- 知らない人からのメールだけど、業務上開かざるを得ない(取材申込、サービスへの問い合わせ等)
- 公的機関からのお知らせメール(税務関係、社会保険関係、災害情報等)
メール本文が不自然なケース
- 日本語が不自然
- 日本語では使用されない漢字(繁体字、簡体字)がある
- 存在しない組織名や電話番号
添付ファイルがあるケース
仕事関係を装ったPDFの添付ファイルにウィルスが仕込まれるので、気をつけます。
いくらなんでも、実行形式ファイル(exe、scr)をクリックする人はいないよね。
標的型攻撃メールによる被害
添付ファイルからウィルスに感染することで、以下の被害が起きます。
- 感染したPCを通じて、組織のネットワーク内の情報を外部に送信する
- 外部への送信ポートを勝手に開く
- 感染したPCが踏み台となって、組織のネットワークやシステムの基幹部分を操作する踏み台になる
今回のJTBのケースは、一番上の「感染したPCを通じて、組織のネットワーク内の情報を外部に送信する」が該当します。
過去にどんな事例があったの?
ニュースにならないだけで、いろんな企業で個人情報が流出してるはず。役所だとすぐにニュースになるけどね。
日本の役所はネットリテラシーが低いので、海外から狙われています。日本年金機構で約125万件の「個人情報」が漏えいしてるし、省庁は片っ端からやられています。
ナレッジ