ジェイティービー(JTB)が2016年6月14日に公表した、最大で約793万人分の個人情報が流出した可能性がある事案の発端は巧妙に取引先を装った標的型メールだった(関連記事:「流出事実ないがお客様にお詫びする」、793万人の情報流出可能性でJTBの高橋社長が謝罪)。

 約4300人分の有効期限中のパスポート番号を含む個人情報が漏洩した可能性のある事案は国内で類がない。同日の記者会見と会見後の取材で分かった経緯を追っていく。

 発端は3カ月前の2016年3月15日。旅行商品をインターネット販売する子会社であるi.JTB(アイドットジェイティービー)がWebサイトで公開する、問い合わせを受け付ける代表メールアドレスに、何者かが標的型メールを送り付けた。

 i.JTBはJTBのWebサイトのほか、「るるぶトラベル」や訪日外国人向け「JAPANiCAN」といった自社運営のWebサイトで旅行商品を販売している。同アドレスには航空会社や旅館といったサプライヤーからの問い合わせが届き、i.JTBはオペレーター250人体制で日々の問い合わせに応対しているという。

標的型攻撃の概要。取材を基に編集部で作成した
標的型攻撃の概要。取材を基に編集部で作成した
[画像のクリックで拡大表示]

問い合わせを装い、PDFを表示するマルウエアで攻撃

 届いた標的型メールは「極めて巧妙だった。開封はやむを得なかった」とJTBの今井敏行グループ本社取締約国内事業本部長(CS推進、Web戦略担当)は話す。メールソフトに表示されるメールアドレスのドメインは、これまで取引のある航空会社系列の販売会社のドメイン。ただしユーザー名は知らない人だった。

 件名は「航空券控え 添付のご連絡」で、本文については会見当日は「無かった」との説明だったが、6月15日にJTB広報室は「本文はあった。サプライヤーからの送信と見誤る内容のものだった」と訂正した。「問い合わせ内容も特段おかしいものではなかった。一目しただけでは(攻撃メールかどうか)分からない」(今井氏)。

 添付ファイルは「圧縮ファイルで、その中にPDFファイルが入っていた」(JTB広報室)。PDFファイルは航空券のeチケットだったという。誤って圧縮ファイルを開封したオペレーターはeチケットに表示された人物の申し込みが見当たらなかったため「該当なし」の旨を返信した。

 オペレーターは気が付いていなかったが、返信メールは「不達だった」(今井氏)。攻撃者はメールアドレスを偽装し、表示したり返信したりするメールアドレスとは異なるアドレスで送信してきていた。発信元は海外のレンタルサーバーだという。「普段のメールが傍受されていたとは考えていない。攻撃者は(旅行)業界のことを研究していると見ている」(同)。