ジェイティービー(JTB)は2016年6月24日、個人情報が流出した可能性がある問題で観光庁に報告書を提出、引き続いて国土交通省で2回目の会見を開いた(関連記事:「経営課題という認識が不足」、679万人のJTB情報漏洩可能性が残す教訓)。

写真●JTBが6月24日の会見で配布した「不正アクセスによる個人情報流出の可能性について 報道用資料」
写真●JTBが6月24日の会見で配布した「不正アクセスによる個人情報流出の可能性について 報道用資料」
[画像のクリックで拡大表示]

 JTBは会見で、「観光庁への報告書とほぼ同じ内容」(JTB)とする報道用資料を配布。同社のWebサイトなどでの公表予定はないというが、マルウエアの感染からJTBの子会社やセキュリティ会社がどう対応していったかが詳細に記されている貴重な資料と言える。以下ではその内容を記述する。自分ならどう対応できたか、想像しながらお読みいただきたい。

 発端は2016年3月15日。旅行商品をインターネット販売する子会社であるi.JTB(アイドットジェイティービー)がWebサイトで公開する、問い合わせを受け付ける代表メールアドレスに、攻撃者が取引先になりすました標的型メールを送り付けたことだ。

感染4日後に「不正な通信」を検知

 オペレーターはメールと添付ファイルを開封、業務用パソコンが遠隔操作型のマルウエアに感染した。2回目の会見では添付ファイルは圧縮ファイルで、解凍するとWindowsフォルダー型のアイコンが生成されたと明らかにした。フォルダーのアイコンをクリックすると航空券のeチケットのPDFファイルが表示されたという。

図●マルウエアの感染と個人情報の抽出状況
図●マルウエアの感染と個人情報の抽出状況
JTBの配布資料を基に編集部が作成
[画像のクリックで拡大表示]

 報告書は「画面上でフォルダーに見えたアイコンは、実態としてはプログラムであり、そのプログラムを(クリックして)実行したことでマルウエアに感染した」としている。JTBは1回目の記者会見でマルウエアがELIRKSとPlugXの亜種だったと明かしている(関連記事:[詳報]JTBを襲った標的型攻撃)。