【情報流出】あなたは見抜けるか JTB がはまった「巧妙なメール」の罠とは

    あなたも、他人事じゃない。

    グループ会社に不正アクセスがあり、790万人分もの個人情報が流出した可能性があると発表したJTB。その始まりは、一通の「巧妙なメール」にあった。

    Kota Hatachi / BuzzFeed

    会見を開いたJTBの高橋広行社長

    「なんの不信感もなかった」

    発端は、3月15日。「i.JTB」のオペレーターが開いたメールには、ウイルスが仕組まれていた。

    「なんの不信感もなかった。極めて巧妙な内容であり、やむを得なかった」

    6月14日に国道交通省で開かれた会見で、金子和彦・経営企画部長(IT企画担当)は、メールの内容についてこう説明した。

    件名は「航空券控え 添付のご連絡」。メールアドレスは、「ごくごく普通のありがちな日本人の苗字@実在する国内航空会社のドメイン」だった。

    メールにはPDFファイルが添付されていた。「北京行きのEチケット」。本物の可能性もある精巧なものだった(JTB広報室は会見で「本文はなかった」としていたが、6月16日、「本文はあり、通常業務のやり取りだった」と訂正した)。

    ウイルスが仕組まれているとは気づかず、オペレーターはこのファイルを開いた。書かれていた乗客の名前をシステムで検索しても、該当する名前は見つからない。

    そのままこのオペレーターは、メールの送り主に「該当はありません」と返信までしていたという。ウイルスメールだとは、最後まで気づかなかった。

    「オペレーターを責められない」

    返信後、すぐにエラーメールが戻ってきた。その時点でオペレーターは、異変に気付くことができなかった。

    数日後、サーバー内部から海外への不正な通信が見つかった。原因として疑われたのが、このメールだった。

    アドレスは間違いなく、実在する航空会社のもの。しかし、事案の発覚後、メールの詳細が記されている「ヘッダー」を確認すると、実際はレンタルサーバーから送られてきたものとわかった。アドレスは、偽造されていた。

    金子部長は「一目しただけでは判断できるものではなかった」と話す。オペレータは通常業務として、航空会社とメールでやり取りをしているという。

    「知らないメールを開くな、というルールはありますが、これだけでそのオペレーターを責めるには、少し無理がある」

    巧妙に仕組まれていたメール。「犯人」はJTBを狙っていた可能性もある。

    日本年金機構の情報流出と同じ手口

    JTBを襲ったのは「標的型メール」と呼ばれる攻撃だ。

    Mikko Lemola / Getty Images / Thinkstock

    2015年6月、日本年金機構は約125万件の個人情報が流出したと発表したが、これも同じ手口による攻撃が原因だった。情報セキュリティ関連企業などが繰り返し注意喚起をしているが、官公庁や大企業を中心に被害が続いている。

    標的型メール攻撃には、どのような対策が有効か。独立行政法人情報処理推進機構(IPA)が公開しているレポートが参考になる。

    実際の標的型攻撃メールをもとに、業務でメールを利用する人に向けて、標的型攻撃メールに注意する時の着眼点や見分け方、具体的な対応方法などを記している。

    レポートの中でも強調されている対策は何か。コンピュータのセキュリティソフトを最新の状態に保つとともに、日々のやり取りの中で「あやしい」と感じたメールは安易に開かず、組織内のセキュリティ担当者や専門家に相談することだ。

    これは、情報流出が起こるたびに言われる対策だ。しかし、日々大量のメールを扱う私たちにとって、これほど徹底することが難しい対策はないのかもしれない。

    アップデート

    メールの内容に関し、JTB広報室は6月16日、「記者会見の場では『本文がなかった』という風に担当者が思い込んで伝えておりました。その後、資料を再確認したところ、本文があったことがわかりました。メールの本文は通常業務のやり取りで、詳しくは回答を差し控えます」と訂正した。

    Contact Kota Hatachi at kota.hatachi@buzzfeed.com.

    Contact Keigo Isashi at keigo.isashi@buzzfeed.com.

    Got a confidential tip? Submit it here