JTBグループから790万人分の個人情報流出事件

再び大型の個人情報流出事件　JTBグループ

JTBのグループ会社から790万件の個人情報流出です。

「標的型攻撃メール」による攻撃にあえなく撃沈。

JTBの高橋社長は

• 「なんの不信感もなかった。極めて巧妙な内容であり、やむを得なかった。」
• 「オペレーターを責められない。」

とコメントされていますが、膨大な量の個人情報を扱う企業の長としてはどうかと思います。

確かにオペレーターを責めるのは間違っているとは思いますが、2015年6月に日本年金機構が125万件の個人情報を流出した事件もこの「標的型攻撃メール」が原因でした。

大規模な個人情報流出事件が起きるとワイドショーなどで取り上げられ、盛んに報道・議論がされるものの、実際に対策が取られるケースばかりではなく、大企業でも何も対策をしないところもあるのが現状です。

JTBはそんなところを突かれました。

790万件もの個人情報流出までの経緯

2016年3月15日、i.JTBのオペレーターに1通のメールが届きました。

メールアドレスは、

ごくごく普通のありがちな日本人の苗字@実在する国内航空会社のドメイン

そのメールには本文がなく、PDFファイル「北京行きのEチケット」が添付されているだけ。

オペレーターが添付ファイルを開き、記載された乗客の氏名をシステムで検索したところ、該当者なし。

そこでオペレーターは、メールの送り主に「該当はありません」と返信すると、すぐにエラーメールが戻ってきたそうです。

オペレーターはこの時点でも異変に気付けずに、数日後にサーバー内部から海外への不正な通信が見つかり、調査がされるまでメールが標的型攻撃メールであることに気付くことができませんでした。

膨大な個人情報を扱う企業としては甘い認識と管理体制

送信元として表示されたアドレスは実在する航空会社のものですが、これは偽造されたもので、メールの「ヘッダー」を確認すると、その航空会社からのものでないと判明。

この件を受けて6月14日に国土交通省での会見でJTBの金子部長（IT企画担当）が、

• 「一目しただけでは判断できるものではなかった。」
• 「知らないメールを開くな、というルールはありますが、これだけでそのオペレーターを責めるには、少し無理がある。」

とコメントされていますが、甘いです。

勿論、オペレーターを責めるのは間違っていると思いますが、

「知らないメールを開くな」

って、こどもに

「知らないおっちゃんに付いて行ったらアカンで」

って教えるのと同じ位に甘いです。

これでは知っているおっちゃん（あり得るメールアドレスなど）に対して無防備になってしまいます。

知らないメールだけではなく、知っているメールでも違和感があるものはシステム管理者に相談すべき

今回のJTBのケースでは、

• メールの本文がない（宛名が書かれていない）
• メールにはPDFファイルが添付されているだけ
• すぐに返信してもエラーメールが返ってきた

などの異常な点がありました。

このような異常な点にオペレーターが気付けるように社内教育を行うべきでした。

それが膨大な量の個人情報を扱う企業の責任です。

また、安全の確保についてオペレーターなどの個人の資質に頼り切ることがないように、セキュリティソフトを常に最新・最適な状態に保つことも企業としての責任です。

社長や部長が

• 「なんの不信感もなかった。極めて巧妙な内容であり、やむを得なかった。」
• 「オペレーターを責められない。」
• 「一目しただけでは判断できるものではなかった。」
• 「知らないメールを開くな、というルールはありますが、これだけでそのオペレーターを責めるには、少し無理がある。」

とコメントするような企業に個人情報の管理を任せることには不安を感じてしまいます。

これを機会にJTBは個人情報管理を徹底すると思いますが、他の大企業でもこの反省を活かして、見直して頂きたいと思います。

「標的型攻撃メール」については、独立行政法人情報処理推進機構セキュリティーセンター（IPA）による

IPA テクニカルウォッチ「標的型攻撃メールの例と見分け方」

を是非参照して頂き、しっかりとした管理をお願いします。