グループ会社に不正アクセスがあり、790万人分もの個人情報が流出した可能性があると発表したJTB。その始まりは、一通の「巧妙なメール」にあった。
「なんの不信感もなかった」
発端は、3月15日。「i.JTB」のオペレーターが開いたメールには、ウイルスが仕組まれていた。
「なんの不信感もなかった。極めて巧妙な内容であり、やむを得なかった」
6月14日に国道交通省で開かれた会見で、金子和彦・経営企画部長(IT企画担当)は、メールの内容についてこう説明した。
件名は「航空券控え 添付のご連絡」。メールアドレスは、「ごくごく普通のありがちな日本人の苗字@実在する国内航空会社のドメイン」だった。
メールにはPDFファイルが添付されていた。「北京行きのEチケット」。本物の可能性もある精巧なものだった(JTB広報室は会見で「本文はなかった」としていたが、6月16日、「本文はあり、通常業務のやり取りだった」と訂正した)。
ウイルスが仕組まれているとは気づかず、オペレーターはこのファイルを開いた。書かれていた乗客の名前をシステムで検索しても、該当する名前は見つからない。
そのままこのオペレーターは、メールの送り主に「該当はありません」と返信までしていたという。ウイルスメールだとは、最後まで気づかなかった。
「オペレーターを責められない」
返信後、すぐにエラーメールが戻ってきた。その時点でオペレーターは、異変に気付くことができなかった。
数日後、サーバー内部から海外への不正な通信が見つかった。原因として疑われたのが、このメールだった。
アドレスは間違いなく、実在する航空会社のもの。しかし、事案の発覚後、メールの詳細が記されている「ヘッダー」を確認すると、実際はレンタルサーバーから送られてきたものとわかった。アドレスは、偽造されていた。
金子部長は「一目しただけでは判断できるものではなかった」と話す。オペレータは通常業務として、航空会社とメールでやり取りをしているという。
「知らないメールを開くな、というルールはありますが、これだけでそのオペレーターを責めるには、少し無理がある」
巧妙に仕組まれていたメール。「犯人」はJTBを狙っていた可能性もある。
日本年金機構の情報流出と同じ手口
JTBを襲ったのは「標的型メール」と呼ばれる攻撃だ。
2015年6月、日本年金機構は約125万件の個人情報が流出したと発表したが、これも同じ手口による攻撃が原因だった。情報セキュリティ関連企業などが繰り返し注意喚起をしているが、官公庁や大企業を中心に被害が続いている。
標的型メール攻撃には、どのような対策が有効か。独立行政法人情報処理推進機構(IPA)が公開しているレポートが参考になる。
実際の標的型攻撃メールをもとに、業務でメールを利用する人に向けて、標的型攻撃メールに注意する時の着眼点や見分け方、具体的な対応方法などを記している。
レポートの中でも強調されている対策は何か。コンピュータのセキュリティソフトを最新の状態に保つとともに、日々のやり取りの中で「あやしい」と感じたメールは安易に開かず、組織内のセキュリティ担当者や専門家に相談することだ。
これは、情報流出が起こるたびに言われる対策だ。しかし、日々大量のメールを扱う私たちにとって、これほど徹底することが難しい対策はないのかもしれない。
アップデート
メールの内容に関し、JTB広報室は6月16日、「記者会見の場では『本文がなかった』という風に担当者が思い込んで伝えておりました。その後、資料を再確認したところ、本文があったことがわかりました。メールの本文は通常業務のやり取りで、詳しくは回答を差し控えます」と訂正した。