この秋、米ヤフーから30億件以上の個人情報が流出し、米信用情報大手のエクイファクスからは米国民の約半分に相当する1.4億人分の個人情報が流出したことが判明した。サイバー攻撃の脅威は増大し、世界は情報大流出時代を突き進んでいる。日本も例外ではない。

 もちろん攻撃を100%防ぐことは不可能だ。だからこそ被害に遭った企業が何をどう反省し、どう対策に結び付けているのかを共有し、社会全体としてセキュリティレベルを底上げする姿勢が欠かせない。事案判明から初めて、ジェイティービー(JTB)のセキュリティ対策室に取材する機会を得た。同社による情報漏洩事案を追った記者として、その後の取り組みをぜひ聞きたいと考えていた。

JTBビル(東京・品川)
JTBビル(東京・品川)
[画像のクリックで拡大表示]

「約679万人の個人情報が流出か」

 678万8443人分の個人情報が盗まれた可能性がある――。JTBが標的型攻撃によるセキュリティ事故を2016年6月14日に公表してから、1年4カ月がたった。約4300人分もの規模の有効期限中パスポート番号が漏洩した恐れがある事案は、国内で類がない。

 JTBを襲った標的型攻撃のあらましは以下の通りだ。何者かは同社が事態を公表する3カ月前の2016年3月15日、旅行商品をインターネット販売する子会社であるi.JTBが公開する問い合わせ受付メールアドレスに、標的型メールを送り付けた。

 メールの件名は「航空券控え 添付のご連絡」。取引のある航空会社系販売会社のメールアドレスのドメインを偽装していた。約250人いたオペレーターの1人がメールを開封、添付されていた圧縮ファイルを開くとPDFファイルが表示された。実はその裏で、ウイルス対策ソフトで検知できない未知のマルウエア(悪意のあるソフトウエア)が動き出し、マルウエアを通して攻撃者がPCを遠隔操作し始めた。

 木は森に隠せというように、マルウエアとC&C(指令)サーバーとの通信はポート80番とHTTPという組み合わせで行われ、検知を逃れた。感染はサーバー2台とPC6台に広がった。

 攻撃者は3月21日、顧客への販促メールや情報提供、アンケートなどに使うデータを格納した「実績データベース」にアクセスし、格納する870万人のうち約793万人分を抽出したCSVファイルを生成した。

 このCSVファイルが実際に流出したかはいまだ定かではない。JTBは「通信の出口やプロキシーサーバーのログを基本的には取っているが、その中で一部取っていないものがあった。通信ログが確認できていないので、外部に流出したかしていないかを特定できないため、可能性として公表した」としている。

 「ITセキュリティ事案を経営課題として十分にとらえていなかったことに起因する」。情報漏洩事案の原因を同社はこう結論付けた。当時セキュリティ専門家に取材したところ、「モノの面でJTBのサイバー攻撃対策レベルは決して低くない。ただエスカレーションといった体制面に不備があったのでは」という意見が多かったと記憶している。