日経NETWORK 2016年8月号からの転載です。記事は当時の状況を解説しています。
大手旅行代理店JTBは2016年6月、同社の旅行商品をインターネットで販売するi.JTBが不正アクセスを受け、約793万人分▼もの個人情報が流出した可能性があると発表しました(図1)。個人情報には氏名や住所のほか、パスポート番号なども含まれていました。今回はみなさんの関心が高いと思われるこの事件について、現時点でわかっていることと、筆者の考察を説明します。
攻撃者が作成したファイルを発見
まずは、i.JTBが受けた攻撃について整理しましょう(図2)。
2016年3月15日、i.JTBの従業員が受信メールの添付ファイルを開いてウイルスに感染しました。
19日、通信の監視を委託している外部の会社から、社内から社外への不審な通信が発生していると指摘を受けます。不審な通信は24日までに複数回発生し、そうした通信を遮断する処理を25日までに完了しました。
攻撃者はその間の21日に、i.JTB社内のサーバーにCSV形式のファイルを作成していました。同日、サーバーのディスク容量不足に気付いたシステム担当者が、業務上不要なファイルを発見して削除しています。その後、セキュリティ会社にサーバーや不審な通信元になったパソコンの調査を依頼。攻撃者によるファイルの作成と、その中身に個人情報が含まれている可能性があると気付いたのは4月1日でした。この時点でJTBのIT部門は攻撃を認識しました。
その後の調査で、攻撃者が作成したCSV形式のファイルにデータベースから抽出した個人情報が含まれていたことがわかります。そして5月16日、JTBの経営陣が個人情報流出の可能性があると認識しました。
JTBは事故対策本部を設置します。セキュリティ会社が復元したデータの解析を始め、約793万人の個人情報が含まれていると判明します。そして6月14日に、事件を発表しました。これが、同社が攻撃を受けてから発表するまでの流れです。