弁財天
ゴフマン「専門家を信じるのではなく、自分自身で考えて判断せよ」
ゴフマン「専門家を信じるのではなく、自分自身で考えて判断せよ」
どうやらこの事件。 バングラディシュのSWIFTサイバー強奪と、全国のATMから14億円引き出しスピン事件の続きみたいだ。 もう警察庁必死です。
紙面【一面・総合】JTB約793万人分の個人情報約流出。企業は対策必要ほか 詳しくは本日(月日付)東京新聞朝刊にて。 pic.twitter.com/Faz3YnWQDm
— 東京新聞ほっとWeb オフィシャル (@tokyohotweb) 2016年6月14日
【速報 JUST IN 】JTB 個人情報700万人分 不正アクセスで流出か #nhk_news https://t.co/MVFHqx3t56
— NHKニュース (@nhk_news) 2016年6月14日
JTB 個人情報 最大790万人分流出か 不正アクセスで 6月14日 18時48分ケーサツに相談してはダメ。バングラディシュみたいに英BAEシステムズとかFireEyeが適当なんでしょーな。
大手旅行会社、JTBは顧客の個人情報を管理するサーバーがいわゆる「標的型メール」による不正なアクセスを受けて、最大でおよそ790万人分の個人情報が外部に流出したおそれがあると発表しました。
大手旅行会社、「JTB」は顧客の個人情報を管理するグループ会社のサーバーが外部から不正にアクセスされ顧客の個人情報が外部に流出したおそれがあると発表しました。このサーバーには顧客の名前、住所、パスポート番号、それに電話番号などが保管されていていわゆる「標的型メール」による海外からの不正なアクセスによって、最大でおよそ793万人分の情報が流出したおそれがあるということです。JTBによりますとこれまでのところ、顧客の個人情報が悪用され、被害を受けたという報告はないとしています。 流出のおそれがあるのは、主に「JTBホームページ」、「るるぶトラベル」などでインターネット予約した顧客、それにグループ内外の提携サイトなどで予約した顧客の情報だということです。また、JTBや提携先の店舗で予約した顧客の情報は流出のおそれはないということです。 JTBは先月13日には個人情報流出の可能性を把握していましたが、どの顧客の情報が流出したか、特定できなかったため、公表を控えていたとしています。 JTBでは14日から個人情報が流出したおそれのある顧客に対してメールで連絡を始めたほか、問い合わせに応じるための専用のフリーダイヤルを設けました。専用のフリ-ダイヤルの番号は0120-589-272。受付時間は午前9時から午後8時半までで、土曜、日曜、祝日も受け付けています。高橋社長が会見で陳謝
JTBの高橋広行社長は顧客の個人情報を管理するサーバーが不正にアクセスされおよそ793万人分の情報が流出したおそれがあることについて記者会見し、「外部から不正アクセスがあり調査の結果個人情報が一部流出した可能性があることが判明しました。現在のところ流出の事実については確認されておりません。また、個人情報を悪用されたことによる被害を受けたという報告はございませんが、お客様および関係者の皆様に多大なるご迷惑、ご心配をおかけすることになりましたことを深くおわび申し上げます」と述べ陳謝しました。警視庁 JTBから相談受け捜査へ
JTBから大量の個人情報が外部に流出した可能性があることについて警視庁はJTB側から相談を受けたということで、事実関係を確認したうえで、不正なアクセスをした疑いなどで捜査を進めることにしています。
相次ぐ個人情報の流出
企業などによる個人情報の流出では、教育サービス大手のベネッセホールディングスで、おととし、顧客の名前や住所、それに電話番号など推計で4000万人分に上る流出が明らかになっています。ベネッセでは、大量の個人情報の流出を受けて主力の通信教育事業で会員の減少が続いていて、原田泳幸会長兼社長は、業績不振のけじめをつけるとして、今月25日付けで退任することを表明しています。 また、ことし2月には、大手IT企業、ヤフーの子会社で外貨を売買するFX取引の仲介会社で、元従業員が最大で18万件余りに上る顧客情報を持ち出し、インターネット上で閲覧できる状態になっていたと発表しています。
さらに、学研ホールディングスでは、去年7月、会社のシステムに外部から不正なアクセスがあり、高校生向けのインターネットによる教育サービスの利用者、2万2000人余りの個人情報が流出した可能性があると明らかにしています。
このほか、日本年金機構でも去年5月、サイバー攻撃でコンピューターウイルスに感染し年金加入者の名前や基礎年金番号など、125万件の個人情報が流出しています。
【不正アクセスの経緯は、2016年3月15日にメール経由でJTBのPCがウィルスに感染。3月19日から24日において不審な通信を複数確認したため、通信を遮断してネットワーク内の調査を行ったとのこと。その後、外部のセキュリティ専門会社と共同で不正なアクセスの調査・分析した結果、5月13日に外部からの侵入者によって削除されたデータファイルに個人情報が含まれるのを確認。社内に「事故対策本部」を設置してデータ正規化に着手し、復元したデータファイルに約793万人分の個人情報が含まれていることが判明したそうです。】JTBからリリースが出され、不正アクセス発見の経緯や流出した個人情報の種類や数などの詳細が明らかになったので追記しました。https://t.co/Fd1yXjh3kh pic.twitter.com/e66Lu3PEZz
— GIGAZINE(ギガジン) (@gigazine) 2016年6月14日
2016年3月10日 | バングラ中銀からSWIFTを使って約8000万ドル不正送金。ファウンデーションをファンデーションとタイプミス |
2016年3月15日 | JTB広報室「パソコン6台と、サーバー2台が感染した」 |
げ。JTBはバングラディシュのアリバイのつもりなんだわw
JTBから793万件の個人情報が流出したおそれがある。ついウイルスファイルを開いてしまう巧妙な手口や発表が遅れた理由をITジャーナリストの三上洋さんが解説。「サイバー護身術」 https://t.co/CHHsHw7s6P pic.twitter.com/vxat26e6aY
— 読売新聞YOL (@Yomiuri_Online) 2016年6月15日
JTB個人情報793万件流出か?…標的型攻撃の巧妙な手口 2016年06月15日 10時30分
JTBのオンラインサービスから793万件の個人情報が流出したおそれがある。原因は標的型攻撃メールを社員が開いてしまい、ウイルスに感染したため。実在する取引先企業のメールアドレスになりすまし、航空券の偽装PDFファイルをメールで送りつける巧妙なものだった。(ITジャーナリスト・三上洋)
航空券eチケット添付のメールでマルウェア「PlugX」などに感染させる手口
記者会見で謝罪するJTBの高橋社長(左)ら(14日午後、国土交通省で)
企業からの大規模情報流出が再び起きた。JTBのオンラインサービスに登録されていた個人情報793万人分が、不正アクセスによって流出したおそれがある。JTBや「るるぶトラベル」などのオンライン予約サービスを使った人、NTTドコモの「dトラベル」、ヤフーの「Yahoo!トラベル」など提携先を使った人も対象になる。
流出したおそれのある項目は、氏名・生年月日・メールアドレス・住所・電話番号などに加えて、4300件のパスポート番号も含まれていた。クレジットカード番号、銀行口座情報、旅行の予約内容は含まれていない(JTB発表:不正アクセスによる個人情報流出の可能性について)。
原因は「標的型攻撃メール」によるものだ。標的型攻撃メールとは企業などに偽メールを送りつけ、ウイルスに感染させて情報流出を狙うサイバー攻撃のこと。日本年金機構の流出も標的型攻撃によるものだったが、今回のJTBの流出はさらに巧妙な手口が使われていた可能性がある。
どんなメールで、なぜ感染してしまったのか、JTB広報室に電話で聞いた。手口の分析は後述するとして、正確を期するために一問一答をそのまま掲載する。
JTBによる流出のおわび文書。793万人の個人情報が流出したおそれがある
――原因となったメールはどんなものか?
JTB広報室「取引先の航空会社系列企業からのメールで、タイトルは『航空券控え 添付のご連絡』と書かれていた。本文には『お世話になっております』などの通常の挨拶文のあとに、『eチケットを送付しますのでご確認下さい』という趣旨の文章があり、送信元の署名もあった。署名は実在する取引先の会社名・部署と担当者名のものだった」
――添付ファイルはどのようなものか?
JTB広報室「偽装されたPDFファイル(筆者注:文書ファイル)が添付されていた。ファイル名は『E-TKT控え』となっており、受け取った社員が航空券の確認だと思って開封したところ、航空券のeチケット(筆者注:オンライン発行での航空券)が表示された。その時点ではウイルス感染に気づかなかった」
――eチケットを「E-TKT控え」というファイル名にするのは一般的か?
JTB広報室「社内でも使う表記で、航空券のeチケットを『E-TKT控え』として添付して送ることが多い」
――偽装されたPDFファイルはウイルスに感染させる実行ファイルだったのか?
JTB広報室「解析したところ、exe形式の実行ファイルだと判明した。『ELIRKS』と『PlugX』の2種類のウイルスに感染させるものだった」
――送信元のメールアドレスはどんなものだったか?
JTB広報室「メールアドレスの『@』マーク以下のドメインは、実在する取引先企業のもの。『@』マークより前はよくある日本人の名前になっていた」
――メールアドレスの偽装によるなりすましだったのか、それとも取引先企業が不正アクセスを受けていたのか?
JTB広報室「なりすましだと判明している」
――ウイルスに感染した台数は?
JTB広報室「パソコン6台と、サーバー2台が感染した」
ここでの大きなポイントは、メールの偽装が巧妙なことだ。取引先企業のメールアドレスになりすまして、航空券のeチケットに偽装したファイルが添付されていた。JTBは顧客の航空券の確認だと信じてしまい開封してしまっている。犯人は明らかに旅行会社であるJTBをターゲットにしている。
実際の取引先の署名があり、メールアドレスもなりますしだが実在するもの、しかも添付されてきたのが「E-TKT控え」という社内でもよく使っているファイル名になっている。実に巧妙な偽装であり、その時点で標的型攻撃メールだと判別するのは難しかっただろう。日本年金機構の標的型攻撃メールではフリーメールが使われていたが、今回は本物のドメインのメールアドレスに偽装していたため見破るのは困難かもしれない(なりすましメールを遮断するしくみがなかったのかは今のところ不明)。
筆者の推測ではあるが、犯人は実際のメールのやり取りをどこかで入手し、それを参考に標的型攻撃メールを作ったのではないか。とても巧妙な偽装だからだ。もしかしたら、これ以外にどこかでマルウェア感染があり、メールのやり取りが流出している可能性がある。
原因となったウイルスは、広報室によれば「ELIRKS」と「PlugX」の2種類とのこと。そのうち「PlugX」は標的型攻撃メールでよく使われるウイルスで、犯人からの遠隔操作で情報の抜き取りなどができるものだ。
発表が遅れたのは「調査と情報の特定に時間がかかったため」
標的型攻撃メールの開封、ウイルス感染、発表までの時系列。流出のおそれがあるとわかってから発表までに1か月かかっている
今回の流出では、JTBが代行している他社のトラベルサービスの情報も流出している。また、発表が遅れたことも問題になりそうだ。5月13日の時点で情報流出を確認していながら、発表は1か月後の6月14日だった。このことについてJTB広報室に聞いた。
――NTTドコモの「dトラベル」も被害を受けているが、なぜJTBでの流出に関係があるのか?
JTB広報室「オンラインサービスの子会社『i.JTB』では、他社のトラベルサービスの運営を請け負っている。その一つがNTTドコモの『dトラベル』で、弊社からの流出により、『dトラベル』のデータも流出してしまった」
――「dトラベル」以外にも流出はあるか
JTB広報室「他の会社のものもあり、各社へおわびの連絡を差し上げている。現時点では弊社からは発表することができない」
(筆者注:Yahoo!トラベルからも同様の発表があった)
――流出したサービスに「JAPANiCAN(ジャパニカン)」があり英語のサービスだ。流出データには外国人のものも含まれているのか?
JTB広報室「JAPANiCAN(ジャパニカン)は訪日される外国人向けのサービス。そのため流出データに外国人の個人情報も含まれている」
――5月13日に流出がわかってから発表までに1か月過ぎている。なぜ遅れたのか?
JTB広報室「不正アクセスが継続して起きており、通信経路の遮断をその都度行っていた。そのためサーバーの調査に時間がかかったことが一つの原因だ。また、情報が特定できない段階で公表すると、かえってお客様に不安を与えると判断し、流出情報が特定できた段階で公表させていただいた」
JTBの発表によれば、3月19日の段階で「本来個人情報を保有していないサーバーにおいて、内部から外部への不審な通信を複数確認」しており、その後に外部のセキュリティー専門会社と協力して調査・分析・対応を行っている。そこから約2か月たった5月13日に「外部からの不正侵入者」が作成・削除したファイルに個人情報が含まれていることを確認。データを分析し復元し終わった6月14日に発表という流れだ。
つまり怪しい通信が確認されてから3か月、個人情報が含まれていることを確認してから1か月も過ぎてからの発表となる。対応に時間がかかったことは理解できるが、流出した顧客への周知が遅くなったことは否めない。今のところ被害は確認されていないとのことだが、発表が遅くなったことで二次被害が出ることも考えられる。提携先企業からの発表も、15日午前7時の時点ではNTTドコモとYahoo!トラベルの2社のみとなっている。他社からの発表、顧客への周知が遅れていることが心配だ。
JTBが代行していた他社のサービスでは、15日7時の時点で、NTTドコモの「dトラベル」、及びヤフーの「Yahoo!トラベル」から以下のような発表がある。いずれもJTBから流出があった可能性があるとのことだ。
・JTBの「個人情報流出の可能性」に関する発表について:Yahoo!トラベル公式ブログ
・提携先のJTB社のグループ会社サーバーへの不正アクセスに伴う「dトラベル」の個人情報流出の可能性について:NTTドコモ
防ぐのが難しい標的型攻撃。企業側の総合的な対応が必要に
企業からの情報流出が続く中、JTBからの流出は、標的型攻撃メールが巧妙になっていること、個人情報の管理が企業の生命線となることを浮き彫りにした。
4300件のパスポート番号が流出しているおそれがあるが、再発行の費用をJTBが持つとしても約7000万円かかる(10年のパスポートの場合)。しかも、今回の場合は外国人のパスポートも含まれているので、これよりも手数料が高い国もあるかもしれない。加えて、793万人に対して何らかのおわびをするコストもかかる。JTBは今回の流出で大きな負担を強いられるだろう。提携先サービスでの流出も起きたことから、JTBへの信頼も揺らいでいる。
日本年金機構での流出から、標的型攻撃への対策が急務となり、大手企業の多くはセキュリティー対策を強化している。しかし、今回のような巧妙な標的型攻撃メールはだまされる可能性が高く、メールの開封をゼロにするのは難しいと考えられる。
そのため企業では、開封しても感染を最小限にする手立てや、感染を早く気付くしくみ作りが重要だ。併せてメール添付の実行ファイルを実行させないしくみ、なりすましのメールやフリーメールを受信しないしくみが必要だろう。そして最大のポイントは個人情報管理だろう。顧客情報を置くデータベースサーバーへのアクセスを制限すること、端末が感染してもサーバーからの流出を防ぐシステムが重要になる。
私たち一般ユーザーには残念ながら、企業からの情報流出を防ぐ手立てはない。しかし、メール添付でウイルスに感染させるサイバー攻撃は、個人でも被害が出ている。メールの添付ファイルを安易に開かないことが大切だ。たとえ知っている人からのメールであっても「その添付ファイルは本当に必要なのか?」と立ち止まって考えるクセをつけたい。
なお、流出の対象となる人へは順次、メールで連絡が来るとのことだ。利用者はJTBのオンラインサービスに登録しているメールアドレスをチェックしよう。データを悪用したと思われる不審な連絡や被害を受けた場合は、下記のフリーダイヤルで相談してほしい。
・JTBによるお客様特設窓口・専用フリーダイヤル:0120-589-272、受付時間:09:00~20:30(土・日・祝含む)
【JTB広報室「パソコン6台と、サーバー2台が感染した」】
メールに添付されたウィルスがパソコン6台とサーバー2台に感染。つまりPCから社内LANを徘徊してサーバーに感染してる。バングラディシュのSWIFT強奪で使われたのと同じスタックスネットじゃまいか。
【――5月13日に流出がわかってから発表までに1か月過ぎている。なぜ遅れたのか? 】
参院選がらみだと気付いて貰いたかったら?w
いやいや、いよいよバングラディシュがテンパってきたのであわててアリバイづくりw
スピン記者の正体がバレる。三上洋氏の関連キーワードがカオスなことになってる pic.twitter.com/0dadkOfJlC
— トトヤマ (@totoyamas) 2016年6月4日
うーむ。この中国に必死にスピンするネトウヨ垢は読売の記事に登場したスピン記者の見解を拡散してるよーだwサイバーテロ情報 緊急拡散
— カミカゼ (@mynamekamikaze) 2016年6月14日
今回のJTBの顧客流出事案は、中国政府と関係のあるハッカー集団のアクシオムが主に使ってるPlugXと判明
中国からのサイバー攻撃の可能性有り
各自ネットセキュリティ等の強化を願う
まぁ、ふつうに考えてメールにスタックスネットを添付されたと考えるだろう。
JTBがグループ社員に送った「創価学会様に選挙協力」メール http://t.co/7EKJ4pxkkA #postseven
— NEWSポストセブン (@news_postseven) 2014年12月7日
来月の参院選でJTBは創価学会に協力しないと決めたのかすら?きっとそーだわ。
正月の旅行は、キャンセルしなきゃ。くそっ!“@okada014: .
— katyu (@katyu) 2014年12月8日
JTBは
創価学会の言いなりか
ここもダメだな
◆JTBがグループ社員に送った
「創価学会様に選挙協力」メールhttp://t.co/d9b0hOEuJ7
. pic.twitter.com/wtEE3W3AcS”
社内イントラネットであってもメールでの選挙応援活動は選挙違反なんじゃないのかな?⇒ JTBがグループ社員に送った「創価学会様に選挙協力」メール│NEWSポストセブン http://t.co/7hQ10WUXEr #postseven pic.twitter.com/8Rn2KDY8D3
— やわくま (@yawakuma) 2014年12月8日
メールに添付したファイルで遠隔操作できるサイバー兵器といえばGALILEOですな。
ウィキリークスに事例が残っている。
ガボン大統領選で取引相手を信用できないHackingTeamがメールにウィルスを仕込んだ契約書の.rtfを添付して送りつけて感染させ、
相手が赤いボタンを押すかどうかをモニターしてたのを思い出してしまった。
つまり、参院選でJTBは創価学会に協力しないと決めた。そしたらケーサツ(=創価学会)のGALILEOで報復された?
既に不正選挙戦ははじまっているのだ。
おまいらTPFでアセンブラ書いてた頃を思い出せ。LU0のトラフィックをACF/VTAMのPIUトレースで追ってた頃を思い出せ。犯人を見つけられるはず。
JTB、全日空装うメールで感染 - 発信元は香港、個人情報流出問題https://t.co/omiTzx3VSC
— 共同通信公式 (@kyodo_official) 2016年6月16日
JTB、全日空装うメールで感染 発信元は香港、個人情報流出問題 2016/6/16 13:37JTBとANA、TPFだわwJTBの個人情報流出問題で、同社子会社の社員宛てに送り付けられた「標的型メール」は香港を経由しており、全日空から送られたように装っていたことが16日、捜査関係者への取材で分かった。
JTBから被害相談を受けている警視庁は不正アクセス禁止法違反などの疑いで捜査している。
捜査関係者によると、IPアドレスなどから発信元は海外で、最終的に香港を経由していた。メールアドレスに「ana」の文字が含まれ、航空券の予約の確認を促す内容だった。文末には担当者として、実在しない人物名も書かれていた。
NATOが強力なサイバー攻撃には通常兵器で応戦すると言い始めたぞ。どーする警察庁?NATO could respond to powerful cyber attack with conventional weapons – Stoltenberg https://t.co/WPUWI7Pzx4 pic.twitter.com/UpofmSngnc
— RT (@RT_com) 2016年6月16日
デルタ航空のシステムがダウン。チェックインできず。BREAKING: Delta Air Lines computer systems ‘down everywhere’, check-in halted https://t.co/NCLADo0hxX pic.twitter.com/N1gcItfvAk
— RT (@RT_com) 2016年8月8日
Georgia Power disputes 'outage' behind Delta's system failure https://t.co/YwhCCQjXyQ pic.twitter.com/6Vj8vFFxjL
— NBC News (@NBCNews) 2016年8月8日
デルタ航空。通常運用のテストでバックアップ発電機を主から副に切り替えたら火事になり電源障害。そしてシステムが全面停止wOh the irony of a backup generator test taking out the primary system: https://t.co/Ahmo4E7Vhj
— brianweeden (@brianweeden) 2016年8月8日
According to the flight captain of JFK-SLC this morning, a routine scheduled switch to the backup generator this morning at 2:30am caused a fire that destroyed both the backup and the primary. Firefighters took a while to extinguish the fire.あやうく犯人が確定してしまうとこだったw
JFK-SLC便機長によればルーチン業務のバックアップ発電機の切り替えを今朝2:30amに行ったところ火事になり、バックアップ(副)とプライマリ(主)の両方が破壊されてしまった。
Power is now back up and 400 out of the 500 servers rebooted, still waiting for the last 100 to have the whole system fully functional.
電源は復旧し、500台のうち400台のサーバはリブートされた。100台は全面復旧待ち。」
ぐは。やっぱ発電機の火事じゃなかったのか?さようならデルタ航空。【デルタ航空、「成田離れ・ソウルシフト」の理由】 成田5路線から撤退の一方、ソウル路線を拡充 : https://t.co/bQUtPDOyhN #東洋経済オンライン pic.twitter.com/4Jkxkp7S5V
— 東洋経済オンライン (@Toyokeizai) 2016年10月2日
わっはっは。ディアスポラなJTBだったのかぁ。知らなかった。杉原千畝さんの命のビザを繋いだ、JTB。
— 中沢 克之 (前鎌倉市議会議長) (@nakazawajimusho) 2017年5月18日
素敵な日本人へ~命をつないだJTBの役割~ JTB【JTB公式 official】 https://t.co/q0rxvV6Mj4
Bonaponta in 原発 2016年6月15日 午後 08:46 JST
Tags: fireeye galileo jtb nttドコモ tpf ディアスポラ 不正選挙 全日空 国交省 日本年金機構 杉原千畝 統一地方選2019 赤いボタン