【情報流出】あなたは見抜けるか　JTB がはまった「巧妙なメール」の罠とは

グループ会社に不正アクセスがあり、790万人分もの個人情報が流出した可能性があると発表したJTB。その始まりは、一通の「巧妙なメール」にあった。

「なんの不信感もなかった」

発端は、3月15日。「i.JTB」のオペレーターが開いたメールには、ウイルスが仕組まれていた。

「なんの不信感もなかった。極めて巧妙な内容であり、やむを得なかった」

6月14日に国道交通省で開かれた会見で、金子和彦・経営企画部長(IT企画担当)は、メールの内容についてこう説明した。

件名は「航空券控え　添付のご連絡」。メールアドレスは、「ごくごく普通のありがちな日本人の苗字@実在する国内航空会社のドメイン」だった。

メールにはPDFファイルが添付されていた。「北京行きのEチケット」。本物の可能性もある精巧なものだった(JTB広報室は会見で「本文はなかった」としていたが、6月16日、「本文はあり、通常業務のやり取りだった」と訂正した)。

ウイルスが仕組まれているとは気づかず、オペレーターはこのファイルを開いた。書かれていた乗客の名前をシステムで検索しても、該当する名前は見つからない。

そのままこのオペレーターは、メールの送り主に「該当はありません」と返信までしていたという。ウイルスメールだとは、最後まで気づかなかった。

「オペレーターを責められない」

返信後、すぐにエラーメールが戻ってきた。その時点でオペレーターは、異変に気付くことができなかった。

数日後、サーバー内部から海外への不正な通信が見つかった。原因として疑われたのが、このメールだった。

アドレスは間違いなく、実在する航空会社のもの。しかし、事案の発覚後、メールの詳細が記されている「ヘッダー」を確認すると、実際はレンタルサーバーから送られてきたものとわかった。アドレスは、偽造されていた。

金子部長は「一目しただけでは判断できるものではなかった」と話す。オペレータは通常業務として、航空会社とメールでやり取りをしているという。

「知らないメールを開くな、というルールはありますが、これだけでそのオペレーターを責めるには、少し無理がある」

巧妙に仕組まれていたメール。「犯人」はJTBを狙っていた可能性もある。

日本年金機構の情報流出と同じ手口

JTBを襲ったのは「標的型メール」と呼ばれる攻撃だ。

2015年6月、日本年金機構は約125万件の個人情報が流出したと発表したが、これも同じ手口による攻撃が原因だった。情報セキュリティ関連企業などが繰り返し注意喚起をしているが、官公庁や大企業を中心に被害が続いている。

標的型メール攻撃には、どのような対策が有効か。独立行政法人情報処理推進機構（IPA）が公開しているレポートが参考になる。

実際の標的型攻撃メールをもとに、業務でメールを利用する人に向けて、標的型攻撃メールに注意する時の着眼点や見分け方、具体的な対応方法などを記している。

レポートの中でも強調されている対策は何か。コンピュータのセキュリティソフトを最新の状態に保つとともに、日々のやり取りの中で「あやしい」と感じたメールは安易に開かず、組織内のセキュリティ担当者や専門家に相談することだ。

これは、情報流出が起こるたびに言われる対策だ。しかし、日々大量のメールを扱う私たちにとって、これほど徹底することが難しい対策はないのかもしれない。