JTBグループから790万人分の個人情報流出事件
2019/06/12
再び大型の個人情報流出事件 JTBグループ
JTBのグループ会社から790万件の個人情報流出です。
「標的型攻撃メール」による攻撃にあえなく撃沈。
JTBの高橋社長は
- 「なんの不信感もなかった。極めて巧妙な内容であり、やむを得なかった。」
- 「オペレーターを責められない。」
とコメントされていますが、膨大な量の個人情報を扱う企業の長としてはどうかと思います。
確かにオペレーターを責めるのは間違っているとは思いますが、2015年6月に日本年金機構が125万件の個人情報を流出した事件もこの「標的型攻撃メール」が原因でした。
大規模な個人情報流出事件が起きるとワイドショーなどで取り上げられ、盛んに報道・議論がされるものの、実際に対策が取られるケースばかりではなく、大企業でも何も対策をしないところもあるのが現状です。
JTBはそんなところを突かれました。
790万件もの個人情報流出までの経緯
2016年3月15日、i.JTBのオペレーターに1通のメールが届きました。
メールアドレスは、
ごくごく普通のありがちな日本人の苗字@実在する国内航空会社のドメイン
そのメールには本文がなく、PDFファイル「北京行きのEチケット」が添付されているだけ。
オペレーターが添付ファイルを開き、記載された乗客の氏名をシステムで検索したところ、該当者なし。
そこでオペレーターは、メールの送り主に「該当はありません」と返信すると、すぐにエラーメールが戻ってきたそうです。
オペレーターはこの時点でも異変に気付けずに、数日後にサーバー内部から海外への不正な通信が見つかり、調査がされるまでメールが標的型攻撃メールであることに気付くことができませんでした。
膨大な個人情報を扱う企業としては甘い認識と管理体制
送信元として表示されたアドレスは実在する航空会社のものですが、これは偽造されたもので、メールの「ヘッダー」を確認すると、その航空会社からのものでないと判明。
この件を受けて6月14日に国土交通省での会見でJTBの金子部長(IT企画担当)が、
- 「一目しただけでは判断できるものではなかった。」
- 「知らないメールを開くな、というルールはありますが、これだけでそのオペレーターを責めるには、少し無理がある。」
とコメントされていますが、甘いです。
勿論、オペレーターを責めるのは間違っていると思いますが、
「知らないメールを開くな」
って、こどもに
「知らないおっちゃんに付いて行ったらアカンで」
って教えるのと同じ位に甘いです。
これでは知っているおっちゃん(あり得るメールアドレスなど)に対して無防備になってしまいます。
知らないメールだけではなく、知っているメールでも違和感があるものはシステム管理者に相談すべき
今回のJTBのケースでは、
- メールの本文がない(宛名が書かれていない)
- メールにはPDFファイルが添付されているだけ
- すぐに返信してもエラーメールが返ってきた
などの異常な点がありました。
このような異常な点にオペレーターが気付けるように社内教育を行うべきでした。
それが膨大な量の個人情報を扱う企業の責任です。
また、安全の確保についてオペレーターなどの個人の資質に頼り切ることがないように、セキュリティソフトを常に最新・最適な状態に保つことも企業としての責任です。
社長や部長が
- 「なんの不信感もなかった。極めて巧妙な内容であり、やむを得なかった。」
- 「オペレーターを責められない。」
- 「一目しただけでは判断できるものではなかった。」
- 「知らないメールを開くな、というルールはありますが、これだけでそのオペレーターを責めるには、少し無理がある。」
とコメントするような企業に個人情報の管理を任せることには不安を感じてしまいます。
これを機会にJTBは個人情報管理を徹底すると思いますが、他の大企業でもこの反省を活かして、見直して頂きたいと思います。
「標的型攻撃メール」については、独立行政法人情報処理推進機構セキュリティーセンター(IPA)による
IPA テクニカルウォッチ「標的型攻撃メールの例と見分け方」
を是非参照して頂き、しっかりとした管理をお願いします。
関連記事
-
山口美奈子さんからのライン詐欺メッセージにご注意ください
奥さんの実家に帰省する時は、義母のガラケーやタブレットを確認して、調整するのが僕 …
-
ゴキゲンじゃないフォルクスワーゲンの不正
フォルクスワーゲン(VW)がアメリカの排ガス規制をクリアするために不正を行ってい …
-
冷やしきゅうりでO157の集団食中毒発生
2014年、静岡市内の花火大会で露店の冷やしきゅうりを食べたことが原因と思われる …
-
津波の可能性 チリでM8.3の地震
津波に注意 チリ沖で巨大地震発生 日本時間17日午前7時54分、チリの首都サンテ …
-
小麦粉と砂糖で大爆発
炭鉱で石炭の粉じんに引火して大爆発を起こす「粉じん爆発」って聞いたことありますか …
-
【りそな銀行】 本人認証サービス
りそな銀行を騙るフィッシングメールにご注意ください 「りそな銀行システム」がアッ …
-
スズメバチ 日本最恐の毒虫
「クマバチとスズメバチ」で書いたことがありますが、クマバチは危ないハチではなくて …
-
学校の防犯能力の低さ暴露 キングオブコメディのT逮捕
キングオブコメディのTが建造物侵入と窃盗の容疑で逮捕された事件で、彼の性癖にばか …
-
Zika Virus(ジカ熱) アメリカとカナダでも感染が確認
ジカ熱 南米から北米へ感染拡大中 小頭症の原因になるジカ熱はブラジルで流行した後 …
-
「松重裕次郎」氏のその後
【32億4000万円】を受け取って欲しい まずは松重裕次郎氏からメールがありまし …
- PREV
- 名古屋城の外堀でアリゲーターガーが成長中
- NEXT
- 授業参観は無法地帯でした