• 会員限定
  • 2016/06/29 掲載

JTB「不正アクセス事件」の背景には何があったのか

  • icon-mail
  • icon-print
  • icon-hatena
  • icon-line
  • icon-close-snsbtns
記事をお気に入りリストに登録することができます。
JTB子会社の「i.JTB(アイドットジェイティービー)」が管理するサーバーが不正アクセスを受けた事件では、678万件以上(発表当初は約793万件)の個人情報が外部に漏えいしたとされる。事態を重くみた観光庁は、JTBの業務の一部を制限することを25日に発表するなど、混乱はまだ続いている。各メディアが事件の経緯、問題点、対策などを連日報じているが、攻撃の背景に関する専門家の分析を紹介しつつ、標的型攻撃の動向と個人情報管理について考えてみたい。

執筆:フリーランスライター 中尾真二

執筆:フリーランスライター 中尾真二

フリーランスライター、エディター。アスキーの書籍編集から、オライリー・ジャパンを経て、翻訳や執筆、取材などを紙、Webを問わずこなす。IT系が多いが、たまに自動車関連の媒体で執筆することもある。インターネット(とは言わなかったが)はUUCPのころから使っている。


photo
JTBが受けた不正アクセスの問題

JTBが受けた不正アクセスの要点を整理する

 JTBは6月14日、自社サーバーが不正アクセスを受けて約793万件の個人情報が流出したと発表した。その後、漏えい件数は約678万件に訂正されたが、かなりの数の個人情報が漏えいした可能性がある。これまでの報道や専門家のブログなどからポイントを抽出すると以下が挙げられる。

なぜ標的型攻撃を防げなかったのか
なぜサーバー、データベースまでアクセスできたのか
JTB側に問題はあったのか
漏えいデータの悪用など被害はあったのか
攻撃者の意図とは何か

標的型攻撃は、基本的に防げないもの?

 今回の事件における最初の攻撃は、旅行の申し込みや手配などを行う窓口に届いたメールから始まった。取引先を装ったメールの添付ファイルを開いたことにより、JTBグループ会社のi.JTB(アイドットジェイティービー)のパソコンがウイルスに感染した。

 効果がないとはいわないが、標的型攻撃を防ぐには「不審なメールを開かない」はあまり意味がない。取引のある航空会社からのメールと思えば、多少不審点があっても開かざるを得ないし、ビジネスを考えた場合、注文窓口やサポート窓口への問合せ経路はオープンで分かりやすくしておくべきだろう。

 ファイアウォールやセキュリティソフトによってある程度のフィルタリングは可能だが、不特定多数が使うことを前提としているメールシステムで、自分にとって都合のよいメールだけを受信するということは不可能なのだ。

 これらの対策としては、添付ファイルの実行環境を分離する、フロントエンドとバックエンドの分離・アクセス制御の徹底・監視機構の導入など、不審なメールも受け入れてしまうリスクを想定した仕組みや運用が必要だ。

JTB側の問題は何だったのか

 JTB側の問題はどこにあったのか。筆者は情報を漏えいさせたこと以上に、「その後の対応」にあると考える。

 いくつかのメディアが指摘しているが、攻撃メールを受信して4日後(3月19日)にはシステム監視会社が不審な通信を報告し遮断措置をとっていながら、本社への報告が5月半ばまで行われず、公式発表が6月までずれ込んだ。初動の悪さというより、エスカレーションに問題があったのではないだろうか。

 状況を正確に把握しなければ公式発表ができないという理屈は、大企業の理論として間違っていない。しかし、攻撃者や犯罪者の動きはそれ以上に迅速であると思ったほうがよい。可能性があるという段階でも、ユーザーにはパスワードの変更やアカウントの停止などの措置をとってもらうために、すみやかに報告する必要があった。

 実際、JTBにはすでに不審なメルマガやメールが届くようになったという問い合わせがきているという。もちろん、その不審メールがどんな経緯で届いたかなど確認しようがない。情報が漏れたと思うとなんでも不審なメールに思えてしまうユーザー心理も働く。これなど、調査中でも適切な情報提供を行っていれば防げた問題かもしれない。

 また、可能性のあるユーザーへの連絡をメールで行うとしたというのも問題だ。便乗した新たな攻撃メールを誘発しかねないからだ。

 さらに、今回の不正アクセスを分析する上では、JTB側の発表に少し不足している点がある。なぜデータベースへの攻撃がなされたのか? という点だ。メールを受ける窓口業務の端末が添付ファイルを開いたとしても、通常サーバーやデータベースのアクセス権限を取得したりするまでは、何ステップも攻撃やハッキング手順が必要だ。

 外部へのデータ送信が複数の経路で行われていたという報道もあるので、窓口端末、外部のwebサーバー、内部サーバー、バックエンドデータベースなど内部のネットワークセグメントはいくつかに分離されていたものと予想される。

 しかし、その場合なおさら、イントラネット内の設定、アクセス制御、アカウント管理(JTB側はActive Directoryへの不正アクセスはないとしている)に問題がなかったかの検証が必要だ。

【次ページ】JTBの個人情報漏えい、その被害と対策

関連タグ

関連コンテンツ

あなたの投稿

    PR

    PR

    PR

処理に失敗しました

人気のタグ

投稿したコメントを
削除しますか?

あなたの投稿コメント編集

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

通報

このコメントについて、
問題の詳細をお知らせください。

ビジネス+ITルール違反についてはこちらをご覧ください。

通報

報告が完了しました

コメントを投稿することにより自身の基本情報
本メディアサイトに公開されます

必要な会員情報が不足しています。

必要な会員情報をすべてご登録いただくまでは、以下のサービスがご利用いただけません。

  • 記事閲覧数の制限なし

  • [お気に入り]ボタンでの記事取り置き

  • タグフォロー

  • おすすめコンテンツの表示

詳細情報を入力して
会員限定機能を使いこなしましょう!

詳細はこちら 詳細情報の入力へ進む
報告が完了しました

」さんのブロックを解除しますか?

ブロックを解除するとお互いにフォローすることができるようになります。

ブロック

さんはあなたをフォローしたりあなたのコメントにいいねできなくなります。また、さんからの通知は表示されなくなります。

さんをブロックしますか?

ブロック

ブロックが完了しました

ブロック解除

ブロック解除が完了しました

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

ユーザーをフォローすることにより自身の基本情報
お相手に公開されます