雑談力を強くする時事ネタ・キーワード（第7回）JTBも被害に。忍び寄る個人情報窃取の魔の手

公開日：2016.06.20

ボタンをクリックすることで、Myクリップ一覧ページに追加・削除できます。追加した記事は、「Myクリップ」メニューからいつでも読むことができます。なお、ご利用にはBiz Clipに会員登録（無料）してログインする必要があります。

　最大793万人分にも及ぶ、大規模な個人情報流出の可能性――。2016年6月14日に飛び込んできたのは、標的型攻撃メールに狙われたJTBのニュースだった。旅行事業を営むJTBのオンラインサービス利用者の登録情報が、外部に流出した恐れがあることが明らかになった。氏名、性別、生年月日などに加え、パスポートの番号や取得日といった重要な情報も流出した可能性があるという。

　概略を整理しておこう。標的型攻撃で外部から不正アクセスを受けたのは、JTBのインターネット販売を行うグループ会社i.JTBのサーバー。サーバーから外部への不審な通信が実行されているのが確認されたのは、3月19日から24日にかけてのことだった。

　前兆はその直前にあった。3月15日に、取引先である大手航空会社系列企業からの送信を装ったメールを受信した同社オペレーターが、添付されていたファイルをi.JTBのパソコンで開いたことによってパソコンがウイルスに感染したもようだ。ただ、この時点ではウイルス感染に気が付けなかったという。

　その後、i.JTBの外部通信の遠隔監視を委託するセキュリティー会社から、JTBグループのシステムを開発運用するJTB情報システムに、i.JTBのあるWebサーバーから外部に不審な通信が発信されていると報告が入り、トラブルは表面化した。「外部からの不正侵入者が3月21日に作成して削除したデータファイル」があったと調査で判明。そのデータファイルを復元したところ793万人分の個人情報が含まれていたと分かったのが事の経緯だ。

　JTBでは、個人情報を悪用された被害の報告はないこと、クレジットカード番号、銀行口座情報、旅行の予約情報は流出の可能性がある情報に含まれていないことを報告している。それでも約4300件の現時点でも有効なパスポートの情報を含んだ、800万件近い個人情報流出の可能性がある事実は、JTBにとって大きなダメージであることに違いはない。

手口が巧妙化する標的型攻撃…

　企業や団体のシステムが狙われて個人情報などの情報が流出した事件は、今回のJTBに限ったことではなく頻発している。攻撃者側の手口は巧妙になり、人間の心理のスキを狙ったものへと進化している。特定の組織の情報を窃取（せっしゅ）することを目的にした「標的型攻撃メール」では、相手は狙いとなる組織を定めて、とにかく巧妙な手口でアプローチしている。

　初期の標的型攻撃に使われるメールは、英文やたどたどしい日本語で記載され、見るからに怪しい実行形式の添付ファイルを伴っているようなケースも多かった。パソコンにウイルス対策ソフトを導入し、「不審なメール」は開かないといった社員教育を施す程度でかなり防げた。しかし、今回のJTBの事件では、ウイルスが添付されたメールは航空会社系列企業からの送信を偽装していたという。タイトルや内容も正規の業務に関連すると感じるもので、JTBが行った記者会見でも「開封はやむを得なかった」とされるほどだった。

　こうした経緯を見ていくと、「不審なメールは開かないという対策を徹底している」だけでは、最新の標的型攻撃からシステムや情報を守ることが難しくなっているのが分かる。より一層のセキュリティー対策が求められるわけだ。これまで標的型攻撃に対する守りを徹底してこなかった企業や団体は、こうしたトラブルを他山の石として守りを早急に固める必要がある。

システムと運営の両面で改善を積み重ねる

　手口が日々、巧妙化していく標的型攻撃から企業内のシステムや情報を守るために「これだけをすれば万全」という特効薬は残念ながら存在しない。システム面でセキュリティー対策の仕組みを整え、運用面でシステムを利用する人材のスキルを高めるという、複数の地道な対策の積み重ねによって少しでもリスクを減らすしかない。

　システム面では、自動的に「危険なファイル」を検知し、「外部への不審な通信」を自動的に遮断するといった機能の導入は必須だ。ただし、多くのソフトや機器を導入するとなるとコストや人員の確保といった課題があるし、セキュリティーの強化で業務上の使い勝手が悪くなっては本末転倒でもある。

　こうした課題を解決する1つのソリューションとして、統合的にセキュリティー機能を提供するUTM（Unified Threat Management：統合脅威管理）がある。ファイアウオール機能やアンチウイルス機能、情報窃取を狙った詐欺行為から守るアンチフィッシング機能、内部に侵入したウイルスによる外部へのアクセスを制御するIPS（Intrusion Prevention System：侵入防止システム）などの機能をまとめて提供する。ゲートウエイで一括管理が可能で、最新の情報への更新作業も一元化できる。

　運用面では、実際にシステムを利用する人材へ継続した教育が求められる。情報セキュリティーに対する知識や意識を高める研修を行うだけでなく、巧妙化する標的型攻撃の手口をあらかじめ実体験するプログラムを活用し、守りを固めることも有効だ。

　標的型攻撃メールは、実際に取引のある企業などからの業務上のメールを装うケースもある。そうした事態に対応できるように、疑似的な標的型攻撃メールを実際に従業員に送信し、だましのテクニックを実体験する「攻撃型メール予防訓練プログラム」も世には提供されている。定期的に訓練を行い、人材の側の対応力を高めることが、標的型攻撃に対する有効な防衛手段といえる。

　JTBによるとi.JTBでは2年前から毎月2回の標的型メール訓練を実施してきたという。それでも、従業員は標的型攻撃メールだと気づけなかったのは、今回のトラブルの教訓でもある。システム面と運用面の双方のセキュリティー対策は、常に見直し、向上を図ることが必須なのだ。情報流出によるリスクから「会社や団体の価値」を守るために、手間もカネも惜しむことはできない。