弁財天

どうやらこの事件。 バングラディシュのSWIFTサイバー強奪と、全国のATMから14億円引き出しスピン事件の続きみたいだ。 もう警察庁必死です。

紙面【一面・総合】ＪＴＢ約793万人分の個人情報約流出。企業は対策必要ほか 詳しくは本日(月日付)東京新聞朝刊にて。 pic.twitter.com/Faz3YnWQDm

— 東京新聞ほっとWeb オフィシャル (@tokyohotweb) 2016年6月14日

【速報 JUST IN 】ＪＴＢ 個人情報７００万人分 不正アクセスで流出か #nhk_news https://t.co/MVFHqx3t56

— NHKニュース (@nhk_news) 2016年6月14日

ＪＴＢ 個人情報 最大７９０万人分流出か 不正アクセスで 6月14日 18時48分
大手旅行会社、ＪＴＢは顧客の個人情報を管理するサーバーがいわゆる「標的型メール」による不正なアクセスを受けて、最大でおよそ７９０万人分の個人情報が外部に流出したおそれがあると発表しました。
大手旅行会社、「ＪＴＢ」は顧客の個人情報を管理するグループ会社のサーバーが外部から不正にアクセスされ顧客の個人情報が外部に流出したおそれがあると発表しました。このサーバーには顧客の名前、住所、パスポート番号、それに電話番号などが保管されていていわゆる「標的型メール」による海外からの不正なアクセスによって、最大でおよそ７９３万人分の情報が流出したおそれがあるということです。ＪＴＢによりますとこれまでのところ、顧客の個人情報が悪用され、被害を受けたという報告はないとしています。 流出のおそれがあるのは、主に「ＪＴＢホームページ」、「るるぶトラベル」などでインターネット予約した顧客、それにグループ内外の提携サイトなどで予約した顧客の情報だということです。また、ＪＴＢや提携先の店舗で予約した顧客の情報は流出のおそれはないということです。 ＪＴＢは先月１３日には個人情報流出の可能性を把握していましたが、どの顧客の情報が流出したか、特定できなかったため、公表を控えていたとしています。 ＪＴＢでは１４日から個人情報が流出したおそれのある顧客に対してメールで連絡を始めたほか、問い合わせに応じるための専用のフリーダイヤルを設けました。専用のフリ－ダイヤルの番号は０１２０－５８９－２７２。受付時間は午前９時から午後８時半までで、土曜、日曜、祝日も受け付けています。

高橋社長が会見で陳謝
ＪＴＢの高橋広行社長は顧客の個人情報を管理するサーバーが不正にアクセスされおよそ７９３万人分の情報が流出したおそれがあることについて記者会見し、「外部から不正アクセスがあり調査の結果個人情報が一部流出した可能性があることが判明しました。現在のところ流出の事実については確認されておりません。また、個人情報を悪用されたことによる被害を受けたという報告はございませんが、お客様および関係者の皆様に多大なるご迷惑、ご心配をおかけすることになりましたことを深くおわび申し上げます」と述べ陳謝しました。

警視庁 ＪＴＢから相談受け捜査へ
ＪＴＢから大量の個人情報が外部に流出した可能性があることについて警視庁はＪＴＢ側から相談を受けたということで、事実関係を確認したうえで、不正なアクセスをした疑いなどで捜査を進めることにしています。

相次ぐ個人情報の流出
企業などによる個人情報の流出では、教育サービス大手のベネッセホールディングスで、おととし、顧客の名前や住所、それに電話番号など推計で４０００万人分に上る流出が明らかになっています。ベネッセでは、大量の個人情報の流出を受けて主力の通信教育事業で会員の減少が続いていて、原田泳幸会長兼社長は、業績不振のけじめをつけるとして、今月２５日付けで退任することを表明しています。 また、ことし２月には、大手ＩＴ企業、ヤフーの子会社で外貨を売買するＦＸ取引の仲介会社で、元従業員が最大で１８万件余りに上る顧客情報を持ち出し、インターネット上で閲覧できる状態になっていたと発表しています。
さらに、学研ホールディングスでは、去年７月、会社のシステムに外部から不正なアクセスがあり、高校生向けのインターネットによる教育サービスの利用者、２万２０００人余りの個人情報が流出した可能性があると明らかにしています。
このほか、日本年金機構でも去年５月、サイバー攻撃でコンピューターウイルスに感染し年金加入者の名前や基礎年金番号など、１２５万件の個人情報が流出しています。

ケーサツに相談してはダメ。バングラディシュみたいに英BAEシステムズとかFireEyeが適当なんでしょーな。

JTBからリリースが出され、不正アクセス発見の経緯や流出した個人情報の種類や数などの詳細が明らかになったので追記しました。https://t.co/Fd1yXjh3kh pic.twitter.com/e66Lu3PEZz

— GIGAZINE(ギガジン) (@gigazine) 2016年6月14日

【不正アクセスの経緯は、2016年3月15日にメール経由でJTBのPCがウィルスに感染。3月19日から24日において不審な通信を複数確認したため、通信を遮断してネットワーク内の調査を行ったとのこと。その後、外部のセキュリティ専門会社と共同で不正なアクセスの調査・分析した結果、5月13日に外部からの侵入者によって削除されたデータファイルに個人情報が含まれるのを確認。社内に「事故対策本部」を設置してデータ正規化に着手し、復元したデータファイルに約793万人分の個人情報が含まれていることが判明したそうです。】

2016年3月10日	バングラ中銀からSWIFTを使って約8000万ドル不正送金。ファウンデーションをファンデーションとタイプミス
2016年3月15日	JTB広報室「パソコン６台と、サーバー２台が感染した」

げ。JTBはバングラディシュのアリバイのつもりなんだわw

ＪＴＢから７９３万件の個人情報が流出したおそれがある。ついウイルスファイルを開いてしまう巧妙な手口や発表が遅れた理由をＩＴジャーナリストの三上洋さんが解説。「サイバー護身術」 https://t.co/CHHsHw7s6P pic.twitter.com/vxat26e6aY

— 読売新聞YOL (@Yomiuri_Online) 2016年6月15日

ＪＴＢ個人情報７９３万件流出か？…標的型攻撃の巧妙な手口 2016年06月15日 10時30分
　ＪＴＢのオンラインサービスから７９３万件の個人情報が流出したおそれがある。原因は標的型攻撃メールを社員が開いてしまい、ウイルスに感染したため。実在する取引先企業のメールアドレスになりすまし、航空券の偽装ＰＤＦファイルをメールで送りつける巧妙なものだった。（ＩＴジャーナリスト・三上洋）
航空券ｅチケット添付のメールでマルウェア「ＰｌｕｇＸ」などに感染させる手口
記者会見で謝罪するＪＴＢの高橋社長（左）ら（１４日午後、国土交通省で）
　企業からの大規模情報流出が再び起きた。ＪＴＢのオンラインサービスに登録されていた個人情報７９３万人分が、不正アクセスによって流出したおそれがある。ＪＴＢや「るるぶトラベル」などのオンライン予約サービスを使った人、ＮＴＴドコモの「ｄトラベル」、ヤフーの「Ｙａｈｏｏ！トラベル」など提携先を使った人も対象になる。
　流出したおそれのある項目は、氏名・生年月日・メールアドレス・住所・電話番号などに加えて、４３００件のパスポート番号も含まれていた。クレジットカード番号、銀行口座情報、旅行の予約内容は含まれていない（ＪＴＢ発表：不正アクセスによる個人情報流出の可能性について）。
　原因は「標的型攻撃メール」によるものだ。標的型攻撃メールとは企業などに偽メールを送りつけ、ウイルスに感染させて情報流出を狙うサイバー攻撃のこと。日本年金機構の流出も標的型攻撃によるものだったが、今回のＪＴＢの流出はさらに巧妙な手口が使われていた可能性がある。
　どんなメールで、なぜ感染してしまったのか、ＪＴＢ広報室に電話で聞いた。手口の分析は後述するとして、正確を期するために一問一答をそのまま掲載する。
ＪＴＢによる流出のおわび文書。７９３万人の個人情報が流出したおそれがある
――原因となったメールはどんなものか？
　ＪＴＢ広報室「取引先の航空会社系列企業からのメールで、タイトルは『航空券控え　添付のご連絡』と書かれていた。本文には『お世話になっております』などの通常の挨拶文のあとに、『ｅチケットを送付しますのでご確認下さい』という趣旨の文章があり、送信元の署名もあった。署名は実在する取引先の会社名・部署と担当者名のものだった」
――添付ファイルはどのようなものか？
　ＪＴＢ広報室「偽装されたＰＤＦファイル（筆者注：文書ファイル）が添付されていた。ファイル名は『Ｅ－ＴＫＴ控え』となっており、受け取った社員が航空券の確認だと思って開封したところ、航空券のｅチケット（筆者注：オンライン発行での航空券）が表示された。その時点ではウイルス感染に気づかなかった」
――ｅチケットを「Ｅ－ＴＫＴ控え」というファイル名にするのは一般的か？
　ＪＴＢ広報室「社内でも使う表記で、航空券のｅチケットを『Ｅ－ＴＫＴ控え』として添付して送ることが多い」
――偽装されたＰＤＦファイルはウイルスに感染させる実行ファイルだったのか？
　ＪＴＢ広報室「解析したところ、ｅｘｅ形式の実行ファイルだと判明した。『ＥＬＩＲＫＳ』と『ＰｌｕｇＸ』の２種類のウイルスに感染させるものだった」
――送信元のメールアドレスはどんなものだったか？
　ＪＴＢ広報室「メールアドレスの『＠』マーク以下のドメインは、実在する取引先企業のもの。『＠』マークより前はよくある日本人の名前になっていた」
――メールアドレスの偽装によるなりすましだったのか、それとも取引先企業が不正アクセスを受けていたのか？
　ＪＴＢ広報室「なりすましだと判明している」
――ウイルスに感染した台数は？
　ＪＴＢ広報室「パソコン６台と、サーバー２台が感染した」
　ここでの大きなポイントは、メールの偽装が巧妙なことだ。取引先企業のメールアドレスになりすまして、航空券のｅチケットに偽装したファイルが添付されていた。ＪＴＢは顧客の航空券の確認だと信じてしまい開封してしまっている。犯人は明らかに旅行会社であるＪＴＢをターゲットにしている。
　実際の取引先の署名があり、メールアドレスもなりますしだが実在するもの、しかも添付されてきたのが「Ｅ－ＴＫＴ控え」という社内でもよく使っているファイル名になっている。実に巧妙な偽装であり、その時点で標的型攻撃メールだと判別するのは難しかっただろう。日本年金機構の標的型攻撃メールではフリーメールが使われていたが、今回は本物のドメインのメールアドレスに偽装していたため見破るのは困難かもしれない（なりすましメールを遮断するしくみがなかったのかは今のところ不明）。
　筆者の推測ではあるが、犯人は実際のメールのやり取りをどこかで入手し、それを参考に標的型攻撃メールを作ったのではないか。とても巧妙な偽装だからだ。もしかしたら、これ以外にどこかでマルウェア感染があり、メールのやり取りが流出している可能性がある。
　原因となったウイルスは、広報室によれば「ＥＬＩＲＫＳ」と「ＰｌｕｇＸ」の２種類とのこと。そのうち「ＰｌｕｇＸ」は標的型攻撃メールでよく使われるウイルスで、犯人からの遠隔操作で情報の抜き取りなどができるものだ。
発表が遅れたのは「調査と情報の特定に時間がかかったため」
標的型攻撃メールの開封、ウイルス感染、発表までの時系列。流出のおそれがあるとわかってから発表までに１か月かかっている
　今回の流出では、ＪＴＢが代行している他社のトラベルサービスの情報も流出している。また、発表が遅れたことも問題になりそうだ。５月１３日の時点で情報流出を確認していながら、発表は１か月後の６月１４日だった。このことについてＪＴＢ広報室に聞いた。
――ＮＴＴドコモの「ｄトラベル」も被害を受けているが、なぜＪＴＢでの流出に関係があるのか？
　ＪＴＢ広報室「オンラインサービスの子会社『ｉ．ＪＴＢ』では、他社のトラベルサービスの運営を請け負っている。その一つがＮＴＴドコモの『ｄトラベル』で、弊社からの流出により、『ｄトラベル』のデータも流出してしまった」
――「ｄトラベル」以外にも流出はあるか
　ＪＴＢ広報室「他の会社のものもあり、各社へおわびの連絡を差し上げている。現時点では弊社からは発表することができない」
　（筆者注：Ｙａｈｏｏ！トラベルからも同様の発表があった）
――流出したサービスに「ＪＡＰＡＮｉＣＡＮ（ジャパニカン）」があり英語のサービスだ。流出データには外国人のものも含まれているのか？
　ＪＴＢ広報室「ＪＡＰＡＮｉＣＡＮ（ジャパニカン）は訪日される外国人向けのサービス。そのため流出データに外国人の個人情報も含まれている」
――５月１３日に流出がわかってから発表までに１か月過ぎている。なぜ遅れたのか？
　ＪＴＢ広報室「不正アクセスが継続して起きており、通信経路の遮断をその都度行っていた。そのためサーバーの調査に時間がかかったことが一つの原因だ。また、情報が特定できない段階で公表すると、かえってお客様に不安を与えると判断し、流出情報が特定できた段階で公表させていただいた」
　ＪＴＢの発表によれば、３月１９日の段階で「本来個人情報を保有していないサーバーにおいて、内部から外部への不審な通信を複数確認」しており、その後に外部のセキュリティー専門会社と協力して調査・分析・対応を行っている。そこから約２か月たった５月１３日に「外部からの不正侵入者」が作成・削除したファイルに個人情報が含まれていることを確認。データを分析し復元し終わった６月１４日に発表という流れだ。
　つまり怪しい通信が確認されてから３か月、個人情報が含まれていることを確認してから１か月も過ぎてからの発表となる。対応に時間がかかったことは理解できるが、流出した顧客への周知が遅くなったことは否めない。今のところ被害は確認されていないとのことだが、発表が遅くなったことで二次被害が出ることも考えられる。提携先企業からの発表も、１５日午前７時の時点ではＮＴＴドコモとＹａｈｏｏ！トラベルの２社のみとなっている。他社からの発表、顧客への周知が遅れていることが心配だ。
　ＪＴＢが代行していた他社のサービスでは、１５日７時の時点で、ＮＴＴドコモの「ｄトラベル」、及びヤフーの「Ｙａｈｏｏ！トラベル」から以下のような発表がある。いずれもＪＴＢから流出があった可能性があるとのことだ。
・ＪＴＢの「個人情報流出の可能性」に関する発表について：Ｙａｈｏｏ！トラベル公式ブログ
・提携先のＪＴＢ社のグループ会社サーバーへの不正アクセスに伴う「ｄトラベル」の個人情報流出の可能性について：ＮＴＴドコモ
防ぐのが難しい標的型攻撃。企業側の総合的な対応が必要に
　企業からの情報流出が続く中、ＪＴＢからの流出は、標的型攻撃メールが巧妙になっていること、個人情報の管理が企業の生命線となることを浮き彫りにした。
　４３００件のパスポート番号が流出しているおそれがあるが、再発行の費用をＪＴＢが持つとしても約７０００万円かかる（１０年のパスポートの場合）。しかも、今回の場合は外国人のパスポートも含まれているので、これよりも手数料が高い国もあるかもしれない。加えて、７９３万人に対して何らかのおわびをするコストもかかる。ＪＴＢは今回の流出で大きな負担を強いられるだろう。提携先サービスでの流出も起きたことから、ＪＴＢへの信頼も揺らいでいる。
　日本年金機構での流出から、標的型攻撃への対策が急務となり、大手企業の多くはセキュリティー対策を強化している。しかし、今回のような巧妙な標的型攻撃メールはだまされる可能性が高く、メールの開封をゼロにするのは難しいと考えられる。
　そのため企業では、開封しても感染を最小限にする手立てや、感染を早く気付くしくみ作りが重要だ。併せてメール添付の実行ファイルを実行させないしくみ、なりすましのメールやフリーメールを受信しないしくみが必要だろう。そして最大のポイントは個人情報管理だろう。顧客情報を置くデータベースサーバーへのアクセスを制限すること、端末が感染してもサーバーからの流出を防ぐシステムが重要になる。
　私たち一般ユーザーには残念ながら、企業からの情報流出を防ぐ手立てはない。しかし、メール添付でウイルスに感染させるサイバー攻撃は、個人でも被害が出ている。メールの添付ファイルを安易に開かないことが大切だ。たとえ知っている人からのメールであっても「その添付ファイルは本当に必要なのか？」と立ち止まって考えるクセをつけたい。
　なお、流出の対象となる人へは順次、メールで連絡が来るとのことだ。利用者はＪＴＢのオンラインサービスに登録しているメールアドレスをチェックしよう。データを悪用したと思われる不審な連絡や被害を受けた場合は、下記のフリーダイヤルで相談してほしい。
・ＪＴＢによるお客様特設窓口・専用フリーダイヤル：０１２０－５８９－２７２、受付時間：０９：００～２０：３０（土・日・祝含む）

【ＪＴＢ広報室「パソコン６台と、サーバー２台が感染した」】
メールに添付されたウィルスがパソコン６台とサーバー２台に感染。つまりPCから社内LANを徘徊してサーバーに感染してる。バングラディシュのSWIFT強奪で使われたのと同じスタックスネットじゃまいか。

【――５月１３日に流出がわかってから発表までに１か月過ぎている。なぜ遅れたのか？ 】
参院選がらみだと気付いて貰いたかったら？w
いやいや、いよいよバングラディシュがテンパってきたのであわててアリバイづくりw

三上洋氏の関連キーワードがカオスなことになってる pic.twitter.com/0dadkOfJlC

— トトヤマ (@totoyamas) 2016年6月4日

スピン記者の正体がバレる。

サイバーテロ情報 緊急拡散
今回のJTBの顧客流出事案は、中国政府と関係のあるハッカー集団のアクシオムが主に使ってるPlugXと判明
中国からのサイバー攻撃の可能性有り
各自ネットセキュリティ等の強化を願う

— カミカゼ (@mynamekamikaze) 2016年6月14日

うーむ。この中国に必死にスピンするネトウヨ垢は読売の記事に登場したスピン記者の見解を拡散してるよーだw

まぁ、ふつうに考えてメールにスタックスネットを添付されたと考えるだろう。

JTBがグループ社員に送った「創価学会様に選挙協力」メール http://t.co/7EKJ4pxkkA #postseven

— NEWSポストセブン (@news_postseven) 2014年12月7日

来月の参院選でJTBは創価学会に協力しないと決めたのかすら？きっとそーだわ。

正月の旅行は、キャンセルしなきゃ。くそっ！“@okada014: .

JTBは
創価学会の言いなりか
ここもダメだな
◆JTBがグループ社員に送った
「創価学会様に選挙協力」メールhttp://t.co/d9b0hOEuJ7
. pic.twitter.com/wtEE3W3AcS”

— katyu (@katyu) 2014年12月8日

社内イントラネットであってもメールでの選挙応援活動は選挙違反なんじゃないのかな？⇒　JTBがグループ社員に送った「創価学会様に選挙協力」メール│NEWSポストセブン http://t.co/7hQ10WUXEr #postseven pic.twitter.com/8Rn2KDY8D3

— やわくま (@yawakuma) 2014年12月8日

メールに添付したファイルで遠隔操作できるサイバー兵器といえばGALILEOですな。

ウィキリークスに事例が残っている。
ガボン大統領選で取引相手を信用できないHackingTeamがメールにウィルスを仕込んだ契約書の.rtfを添付して送りつけて感染させ、 相手が赤いボタンを押すかどうかをモニターしてたのを思い出してしまった。

つまり、参院選でJTBは創価学会に協力しないと決めた。そしたらケーサツ(＝創価学会)のGALILEOで報復された？

既に不正選挙戦ははじまっているのだ。

おまいらTPFでアセンブラ書いてた頃を思い出せ。LU0のトラフィックをACF/VTAMのPIUトレースで追ってた頃を思い出せ。犯人を見つけられるはず。

JTB、全日空装うメールで感染 － 発信元は香港、個人情報流出問題https://t.co/omiTzx3VSC

— 共同通信公式 (@kyodo_official) 2016年6月16日

JTB、全日空装うメールで感染 発信元は香港、個人情報流出問題 2016/6/16 13:37

　JTBの個人情報流出問題で、同社子会社の社員宛てに送り付けられた「標的型メール」は香港を経由しており、全日空から送られたように装っていたことが16日、捜査関係者への取材で分かった。
　JTBから被害相談を受けている警視庁は不正アクセス禁止法違反などの疑いで捜査している。
　捜査関係者によると、IPアドレスなどから発信元は海外で、最終的に香港を経由していた。メールアドレスに「ana」の文字が含まれ、航空券の予約の確認を促す内容だった。文末には担当者として、実在しない人物名も書かれていた。

JTBとANA、TPFだわw

NATO could respond to powerful cyber attack with conventional weapons – Stoltenberg https://t.co/WPUWI7Pzx4 pic.twitter.com/UpofmSngnc

— RT (@RT_com) 2016年6月16日

NATOが強力なサイバー攻撃には通常兵器で応戦すると言い始めたぞ。どーする警察庁？

BREAKING: Delta Air Lines computer systems ‘down everywhere’, check-in halted https://t.co/NCLADo0hxX pic.twitter.com/N1gcItfvAk

— RT (@RT_com) 2016年8月8日

デルタ航空のシステムがダウン。チェックインできず。
うっは。デルタ航空のDCS(Departure Control System)はTPFだわ。 これってJTBとANAの続きか？ありえねー。 サイバーテロ？ つかオレ、犯人わかったかもw

Georgia Power disputes 'outage' behind Delta's system failure https://t.co/YwhCCQjXyQ pic.twitter.com/6Vj8vFFxjL

— NBC News (@NBCNews) 2016年8月8日

Oh the irony of a backup generator test taking out the primary system: https://t.co/Ahmo4E7Vhj

— brianweeden (@brianweeden) 2016年8月8日

デルタ航空。通常運用のテストでバックアップ発電機を主から副に切り替えたら火事になり電源障害。そしてシステムが全面停止w
なにそれ？w
ハッキングでもTPFでもなんでもないのか？w

According to the flight captain of JFK-SLC this morning, a routine scheduled switch to the backup generator this morning at 2:30am caused a fire that destroyed both the backup and the primary. Firefighters took a while to extinguish the fire.
JFK-SLC便機長によればルーチン業務のバックアップ発電機の切り替えを今朝2:30amに行ったところ火事になり、バックアップ(副)とプライマリ(主)の両方が破壊されてしまった。
Power is now back up and 400 out of the 500 servers rebooted, still waiting for the last 100 to have the whole system fully functional.
電源は復旧し、500台のうち400台のサーバはリブートされた。100台は全面復旧待ち。」

あやうく犯人が確定してしまうとこだったw

【デルタ航空､｢成田離れ･ソウルシフト｣の理由】 成田5路線から撤退の一方､ソウル路線を拡充 : https://t.co/bQUtPDOyhN #東洋経済オンライン pic.twitter.com/4Jkxkp7S5V

— 東洋経済オンライン (@Toyokeizai) 2016年10月2日

ぐは。やっぱ発電機の火事じゃなかったのか？さようならデルタ航空。

杉原千畝さんの命のビザを繋いだ、JTB。
素敵な日本人へ～命をつないだJTBの役割～ JTB【JTB公式 official】 https://t.co/q0rxvV6Mj4

— 中沢 克之 (前鎌倉市議会議長） (@nakazawajimusho) 2017年5月18日

わっはっは。ディアスポラなJTBだったのかぁ。知らなかった。