JTBグループから790万人分の個人情報流出事件
2019/06/12
再び大型の個人情報流出事件 JTBグループ
JTBのグループ会社から790万件の個人情報流出です。
「標的型攻撃メール」による攻撃にあえなく撃沈。
JTBの高橋社長は
- 「なんの不信感もなかった。極めて巧妙な内容であり、やむを得なかった。」
- 「オペレーターを責められない。」
とコメントされていますが、膨大な量の個人情報を扱う企業の長としてはどうかと思います。
確かにオペレーターを責めるのは間違っているとは思いますが、2015年6月に日本年金機構が125万件の個人情報を流出した事件もこの「標的型攻撃メール」が原因でした。
大規模な個人情報流出事件が起きるとワイドショーなどで取り上げられ、盛んに報道・議論がされるものの、実際に対策が取られるケースばかりではなく、大企業でも何も対策をしないところもあるのが現状です。
JTBはそんなところを突かれました。
790万件もの個人情報流出までの経緯
2016年3月15日、i.JTBのオペレーターに1通のメールが届きました。
メールアドレスは、
ごくごく普通のありがちな日本人の苗字@実在する国内航空会社のドメイン
そのメールには本文がなく、PDFファイル「北京行きのEチケット」が添付されているだけ。
オペレーターが添付ファイルを開き、記載された乗客の氏名をシステムで検索したところ、該当者なし。
そこでオペレーターは、メールの送り主に「該当はありません」と返信すると、すぐにエラーメールが戻ってきたそうです。
オペレーターはこの時点でも異変に気付けずに、数日後にサーバー内部から海外への不正な通信が見つかり、調査がされるまでメールが標的型攻撃メールであることに気付くことができませんでした。
膨大な個人情報を扱う企業としては甘い認識と管理体制
送信元として表示されたアドレスは実在する航空会社のものですが、これは偽造されたもので、メールの「ヘッダー」を確認すると、その航空会社からのものでないと判明。
この件を受けて6月14日に国土交通省での会見でJTBの金子部長(IT企画担当)が、
- 「一目しただけでは判断できるものではなかった。」
- 「知らないメールを開くな、というルールはありますが、これだけでそのオペレーターを責めるには、少し無理がある。」
とコメントされていますが、甘いです。
勿論、オペレーターを責めるのは間違っていると思いますが、
「知らないメールを開くな」
って、こどもに
「知らないおっちゃんに付いて行ったらアカンで」
って教えるのと同じ位に甘いです。
これでは知っているおっちゃん(あり得るメールアドレスなど)に対して無防備になってしまいます。
知らないメールだけではなく、知っているメールでも違和感があるものはシステム管理者に相談すべき
今回のJTBのケースでは、
- メールの本文がない(宛名が書かれていない)
- メールにはPDFファイルが添付されているだけ
- すぐに返信してもエラーメールが返ってきた
などの異常な点がありました。
このような異常な点にオペレーターが気付けるように社内教育を行うべきでした。
それが膨大な量の個人情報を扱う企業の責任です。
また、安全の確保についてオペレーターなどの個人の資質に頼り切ることがないように、セキュリティソフトを常に最新・最適な状態に保つことも企業としての責任です。
社長や部長が
- 「なんの不信感もなかった。極めて巧妙な内容であり、やむを得なかった。」
- 「オペレーターを責められない。」
- 「一目しただけでは判断できるものではなかった。」
- 「知らないメールを開くな、というルールはありますが、これだけでそのオペレーターを責めるには、少し無理がある。」
とコメントするような企業に個人情報の管理を任せることには不安を感じてしまいます。
これを機会にJTBは個人情報管理を徹底すると思いますが、他の大企業でもこの反省を活かして、見直して頂きたいと思います。
「標的型攻撃メール」については、独立行政法人情報処理推進機構セキュリティーセンター(IPA)による
IPA テクニカルウォッチ「標的型攻撃メールの例と見分け方」
を是非参照して頂き、しっかりとした管理をお願いします。
関連記事
-
交通誘導警備員の誘導は過信禁物
土日のスーパーなんかに行くと交通誘導警備員さん、いますよね。混んだ駐車場や幹線道 …
-
食中毒 市の営業自粛要請を無視で感染者拡大
営業自粛要請には強制力がありません 広島県広島市中区の旅館が、食中毒を起こした疑 …
-
みのりフーズが産業廃棄物を食品として販売 マルコメみそも被害
ココイチ(CoCo壱番屋)の「壱番屋」が廃棄した冷凍カツを、産業廃棄物処理会社「 …
-
浴室の赤いヌルヌル
赤いツブツブの話に続き、今回は赤いヌルヌルです。 浴室の赤いヌルヌルの犯人はロド …
-
求むバウンティハンター 匿名通報ダイヤル
特定の犯罪に関する情報を匿名で通報する「匿名通報ダイヤル」という制度があります。 …
-
現金5600万円を強奪 大阪市中央区南船場
金を換金した後の5600万円を強奪 3月24日、午前10時40分頃、大阪府大阪市 …
-
台風11号 祇園祭の宵山を直撃か
強い台風11号は、勢力を増しながら時速15キロで北に進んでいます。このまま勢力を …
-
インビザラインの洗浄にはポリデントが効きます
こどもがインビザラインを使った歯列矯正を始めて、約半年が経ちました。歯の移動が順 …
-
LINE迷惑メッセージ 「ちなつだよ~(^o^)/」に要注意
毎日のようにLINEに迷惑メッセージが届きます。そもそもLINEにそれほどメッセ …
-
キッチンばさみも洗ってますか?
兼業主夫になる前からあった得体の知れないキッチンばさみが気に入らず、ヘンケルスの …
- PREV
- 名古屋城の外堀でアリゲーターガーが成長中
- NEXT
- 授業参観は無法地帯でした