日経NETWORK 2016年8月号からの転載です。記事は当時の状況を解説しています。

 大手旅行代理店JTBは2016年6月、同社の旅行商品をインターネットで販売するi.JTBが不正アクセスを受け、約793万人分もの個人情報が流出した可能性があると発表しました(図1)。個人情報には氏名や住所のほか、パスポート番号なども含まれていました。今回はみなさんの関心が高いと思われるこの事件について、現時点でわかっていることと、筆者の考察を説明します。

図1●JTBが不正アクセスを受けたことを発表
図1●JTBが不正アクセスを受けたことを発表
JTBは2016年6月14日、不正アクセスによって個人情報が流出した可能性があると発表した。流出した可能性がある個人情報の対象人数は約793万人(後日、約679万人と修正)。
[画像のクリックで拡大表示]
▼約793万人分 6月14日の発表では約793万人としていたが、6月24日に重複があったとして678万8334人に修正した。

攻撃者が作成したファイルを発見

 まずは、i.JTBが受けた攻撃について整理しましょう(図2)。

図2●JTBが受けた不正アクセスの経緯
図2●JTBが受けた不正アクセスの経緯
JTBに対する攻撃について、JTBのシステムで発生した事象とJTBの対応を整理した。
[画像のクリックで拡大表示]

 2016年3月15日、i.JTBの従業員が受信メールの添付ファイルを開いてウイルスに感染しました。

 19日、通信の監視を委託している外部の会社から、社内から社外への不審な通信が発生していると指摘を受けます。不審な通信は24日までに複数回発生し、そうした通信を遮断する処理を25日までに完了しました。

 攻撃者はその間の21日に、i.JTB社内のサーバーにCSV形式のファイルを作成していました。同日、サーバーのディスク容量不足に気付いたシステム担当者が、業務上不要なファイルを発見して削除しています。その後、セキュリティ会社にサーバーや不審な通信元になったパソコンの調査を依頼。攻撃者によるファイルの作成と、その中身に個人情報が含まれている可能性があると気付いたのは4月1日でした。この時点でJTBのIT部門は攻撃を認識しました。

 その後の調査で、攻撃者が作成したCSV形式のファイルにデータベースから抽出した個人情報が含まれていたことがわかります。そして5月16日、JTBの経営陣が個人情報流出の可能性があると認識しました。

 JTBは事故対策本部を設置します。セキュリティ会社が復元したデータの解析を始め、約793万人の個人情報が含まれていると判明します。そして6月14日に、事件を発表しました。これが、同社が攻撃を受けてから発表するまでの流れです。