JTB、パスポート番号含む約793万人分の個人情報流出

update:2016.6.15 21:00

[1]JTB公式リリースによると、取引先を装った巧妙なメールの添付ファイルを開いたことにより、i.JTBのパソコンがウイルスに感染(2016.3.15)。パスポート番号が漏洩したことにより、成りすまし犯罪が発生する恐れがある。

なお、まとめサイトができていた[3]なので、ここではさら〜と流させて頂く。

JTBユーザー特設窓口】
専用フリーダイヤル:0120-589-272
受付時間:09:00~20:30(土・日・祝含む)

感染したとされるマルウエアは、「ELIRKS」「PlugX」とされている。PlugXは、遠隔操作するツール(RAT:Remote Access Tool)。定期的な訓練をしていたにも関わらず、何故防げなかったのか?訓練の内容が本当に適切であったのだろうか。

漏えいした可能性があるもの。

【含まれていた個人情報】
①氏名(漢字、カタカナ、ローマ字) ②性別 ③生年月日 ④メールアドレス ⑤住所 ⑥郵便番号 ⑦電話番号 ⑧パスポート番号 ⑨パスポート取得日
※なお、⑧パスポート番号、⑨パスポート取得日のうち、現在も有効なものは約4,300件。

対象者は、

「JTBホームページ」「るるぶトラベル」「JAPANiCAN」のオンラインでご予約されたユーザ、
「dトラベル(NTTdocomo)」でJTB商品をご予約された約33万人のユーザー、
「auトラベル by DeNAトラベル」「DeNAトラベル」「Yahooトラベル」

となっている。

幸いにも対象外は次の通り。

「JTB旅物語」「高速バス」「現地観光プラン、レジャーチケット、定期観光バス」「レストラン」「海外ダイナミックパッケージ」「海外航空券」「海外ホテル」「海外現地オプショナルツアー」「その他旅行関連商品(保険、積立等)」

のようだ。

この手の標的型攻撃(APT)による漏洩は、2015.06.01年金機構[2]の情報漏洩以来のような気がする。piyologによると、「文部省なりすましメール(2016.05.26)」とかあり、標的型攻撃が依然やまないということが伺えられる。

IPAでは、「標的型攻撃メールの例と見分け方」を公開しているので、参考にされると良い。添付ファイルがついていれば、virustotal等でチェックされるのも良い。但し、virustotalの場合は、ファイルをアップロードしてウイルススキャンを行う関係上、virustotal有料会員側が、そのファイルを取得できる話を聞いたことがあるため、ウイルススキャンする際には注意が必要だ。

セキュリティはいくら固めようとも、それが100%防ぐことは不可能。感染することを想定した「通信の可視化」、セキュリティインシデント発生時の「原因追求の迅速化」が必要ではないだろうか。

勤務先においても、100%の対策は不可とし、「通信の可視化」「原因追求の迅速化」について1年ほど歳月を経て、社内稟議申請前だ。なかなか、経営層にとっては、これらのポイントは理解して頂けないところではあるが、Webフィルタも(BlueCoat ProxySG)やって、マルウエア対策(F-Secure)もやって、あと何をすればいい?これでもやっても、マルウエアに感染するヒトはいる。だったら、感染することを前提に、感染しても広まらないという対策が必要と考えている。

現在、「通信の可視化」「原因追求の迅速化」については、splunkで設計を検討している。splunkといえば、マクニカネットワークスにお聞あれ。

なお、年金機構はMcAfeeを利用して情報漏えい。JTBはTrendmicoroっぽいけれども。もはや、感染後の対策が重要だ。

(参考)
[1]不正アクセスによる個人情報流出の可能性について(JTB)
[2]日本年金機構の情報漏えいについてまとめてみた(piyolog)魚拓
[3]JTBへの不正アクセスについてまとめてみた(piyolog) *おすすめ*

(参考サイト)
標的型攻撃への対策(総務省)
今すぐにできる「標的型攻撃」への備え(マイクロソフト)
標的型攻撃の実態と対策アプローチ(マクニカネットワークス)
標的型攻撃 対策室(ラック)
標的型攻撃の最新動向と対策(トレンドマイクロ)
「標的型攻撃」に備える-サイバー攻撃 : 標的型攻撃とは、APTとは(シマンテック)
今こそ内部対策を強化せよ! 標的型サイバー攻撃に備える際、陥り易い落とし穴とは?(@IT)
標的型攻撃/APT対策で急伸、Splunkが語る“次世代SIEM”とは(ASCII)