...

航空券eチケット添付のメールでマルウェアなどに感染させる手口

by user

on
Category: Documents
24

views

Report

Comments

Transcript

航空券eチケット添付のメールでマルウェアなどに感染させる手口
JTBのオンラインサービスから793万件の個人情報が流出したおそれがある。原因
は標的型攻撃メールを社員が開いてしまい、ウイルスに感染したため。実在する取引
先企業のメールアドレスになりすまし、航空券の偽装PDFファイルをメールで送りつ
ける巧妙なものだった。(ITジャーナリスト・三上洋)
航空券eチケット添付のメールでマルウェアなどに感染させる手口

記者会見で謝罪するJTBの高橋社長(左)ら(14日午後、国土交通省で)
企業からの大規模情報流出が再び起きた。JTBのオンラインサービスに登録され
ていた個人情報793万人分が、不正アクセスによって流出したおそれがある。JTB
や「るるぶトラベル」などのオンライン予約サービスを使った人、NTTドコモの「dトラベ
ル」、ヤフーの「Yahoo!トラベル」など提携先を使った人も対象になる。
流出したおそれのある項目は、氏名・生年月日・メールアドレス・住所・電話番号な
どに加えて、4300件のパスポート番号も含まれていた。クレジットカード番号、銀行
口座情報、旅行の予約内容は含まれていない(JTB発表:不正アクセスによる個人
情報流出の可能性について)。
原因は「標的型攻撃メール」によるものだ。標的型攻撃メールとは企業などに偽メー
ルを送りつけ、ウイルスに感染させて情報流出を狙うサイバー攻撃のこと。日本年金
機構の流出も標的型攻撃によるものだったが、今回のJTBの流出はさらに巧妙な手
口が使われていた可能性がある。
どんなメールで、なぜ感染してしまったのか、JTB広報室に電話で聞いた。手口の
分析は後述するとして、正確を期するために一問一答をそのまま掲載する。
JTBによる流出のおわび文書。793万人の個人情報が流出したおそれがある
――原因となったメールはどんなものか?
JTB広報室「取引先の航空会社系列企業からのメールで、タイトルは『航空券控え
添付のご連絡』と書かれていた。本文には『お世話になっております』などの通常の挨
拶文のあとに、『eチケットを送付しますのでご確認下さい』という趣旨の文章があり、
送信元の署名もあった。署名は実在する取引先の会社名・部署と担当者名のものだ
った」
――添付ファイルはどのようなものか?
JTB広報室「偽装されたPDFファイル(筆者注:文書ファイル)が添付されていた。フ
ァイル名は『E-TKT控え』となっており、受け取った社員が航空券の確認だと思って
開封したところ、航空券のeチケット(筆者注:オンライン発行での航空券)が表示され
た。その時点ではウイルス感染に気づかなかった」
――eチケットを「E-TKT控え」というファイル名にするのは一般的か?
JTB広報室「社内でも使う表記で、航空券のeチケットを『E-TKT控え』として添付
して送ることが多い」
――偽装されたPDFファイルはウイルスに感染させる実行ファイルだったのか?
JTB広報室「解析したところ、exe形式の実行ファイルだと判明した。『ELIRKS』と
『PlugX』の2種類のウイルスに感染させるものだった」
――送信元のメールアドレスはどんなものだったか?
JTB広報室「メールアドレスの『@』マーク以下のドメインは、実在する取引先企業
のもの。『@』マークより前はよくある日本人の名前になっていた」
――メールアドレスの偽装によるなりすましだったのか、それとも取引先企業が不正
アクセスを受けていたのか?
JTB広報室「なりすましだと判明している」
――ウイルスに感染した台数は?
JTB広報室「パソコン6台と、サーバー2台が感染した」
ここでの大きなポイントは、メールの偽装が巧妙なことだ。取引先企業のメールアド
レスになりすまして、航空券のeチケットに偽装したファイルが添付されていた。JTB
は顧客の航空券の確認だと信じてしまい開封してしまっている。犯人は明らかに旅行
会社であるJTBをターゲットにしている。
実際の取引先の署名があり、メールアドレスもなりますしだが実在するもの、しかも
添付されてきたのが「E-TKT控え」という社内でもよく使っているファイル名になって
いる。実に巧妙な偽装であり、その時点で標的型攻撃メールだと判別するのは難しか
っただろう。日本年金機構の標的型攻撃メールではフリーメールが使われていたが、
今回は本物のドメインのメールアドレスに偽装していたため見破るのは困難かもしれ
ない(なりすましメールを遮断するしくみがなかったのかは今のところ不明)。
筆者の推測ではあるが、犯人は実際のメールのやり取りをどこかで入手し、それを
参考に標的型攻撃メールを作ったのではないか。とても巧妙な偽装だからだ。もしか
したら、これ以外にどこかでマルウェア感染があり、メールのやり取りが流出している
可能性がある。
原因となったウイルスは、広報室によれば2種類とのこと。そのうち1種は標的型攻
撃メールでよく使われるウイルスで、犯人からの遠隔操作で情報の抜き取りなどがで
きるものだ。
発表が遅れたのは「調査と情報の特定に時間がかかったため」
標的型攻撃メールの開封、ウイルス感染、発表までの時系列。流出のおそれがあるとわ
かってから発表までに1か月かかっている
今回の流出では、JTBが代行している他社のトラベルサービスの情報も流出してい
る。また、発表が遅れたことも問題になりそうだ。5月13日の時点で情報流出を確認
していながら、発表は1か月後の6月14日だった。このことについてJTB広報室に聞
いた。
――NTTドコモの「dトラベル」も被害を受けているが、なぜJTBでの流出に関係があ
るのか?
JTB広報室「オンラインサービスの子会社『i.JTB』では、他社のトラベルサービス
の運営を請け負っている。その一つがNTTドコモの『dトラベル』で、弊社からの流出
により、『dトラベル』のデータも流出してしまった」
――「dトラベル」以外にも流出はあるか
JTB広報室「他の会社のものもあり、各社へおわびの連絡を差し上げている。現時
点では弊社からは発表することができない」
(筆者注:Yahoo!トラベルからも同様の発表があった)
――流出したサービスに「JAPANiCAN(ジャパニカン)」があり英語のサービスだ。
流出データには外国人のものも含まれているのか?
JTB広報室「JAPANiCAN(ジャパニカン)は訪日される外国人向けのサービス。そ
のため流出データに外国人の個人情報も含まれている」
――5月13日に流出がわかってから発表までに1か月過ぎている。なぜ遅れたの
か?
JTB広報室「不正アクセスが継続して起きており、通信経路の遮断をその都度行っ
ていた。そのためサーバーの調査に時間がかかったことが一つの原因だ。また、情報
が特定できない段階で公表すると、かえってお客様に不安を与えると判断し、流出情
報が特定できた段階で公表させていただいた」
JTBの発表によれば、3月19日の段階で「本来個人情報を保有していないサーバ
ーにおいて、内部から外部への不審な通信を複数確認」しており、その後に外部のセ
キュリティー専門会社と協力して調査・分析・対応を行っている。そこから約2か月たっ
た5月13日に「外部からの不正侵入者」が作成・削除したファイルに個人情報が含ま
れていることを確認。データを分析し復元し終わった6月14日に発表という流れだ。
つまり怪しい通信が確認されてから3か月、個人情報が含まれていることを確認し
てから1か月も過ぎてからの発表となる。対応に時間がかかったことは理解できるが、
流出した顧客への周知が遅くなったことは否めない。今のところ被害は確認されてい
ないとのことだが、発表が遅くなったことで二次被害が出ることも考えられる。提携先
企業からの発表も、15日午前7時の時点ではNTTドコモとYahoo!トラベルの2社
のみとなっている。他社からの発表、顧客への周知が遅れていることが心配だ。
JTBが代行していた他社のサービスでは、15日7時の時点で、NTTドコモの「dトラ
ベル」、及びヤフーの「Yahoo!トラベル」から以下のような発表がある。いずれもJT
Bから流出があった可能性があるとのことだ。
・JTBの「個人情報流出の可能性」に関する発表について:Yahoo!トラベル公式ブ
ログ
・提携先のJTB社のグループ会社サーバーへの不正アクセスに伴う「dトラベル」の個
人情報流出の可能性について:NTTドコモ
防ぐのが難しい標的型攻撃。企業側の総合的な対応が必要に
企業からの情報流出が続く中、JTBからの流出は、標的型攻撃メールが巧妙にな
っていること、個人情報の管理が企業の生命線となることを浮き彫りにした。
4300件のパスポート番号が流出しているおそれがあるが、再発行の費用をJTB
が持つとしても約7000万円かかる(10年のパスポートの場合)。しかも、今回の場
合は外国人のパスポートも含まれているので、これよりも手数料が高い国もあるかも
しれない。加えて、793万人に対して何らかのおわびをするコストもかかる。JTBは
今回の流出で大きな負担を強いられるだろう。提携先サービスでの流出も起きたこと
から、JTBへの信頼も揺らいでいる。
日本年金機構での流出から、標的型攻撃への対策が急務となり、大手企業の多く
はセキュリティー対策を強化している。しかし、今回のような巧妙な標的型攻撃メール
はだまされる可能性が高く、メールの開封をゼロにするのは難しいと考えられる。
そのため企業では、開封しても感染を最小限にする手立てや、感染を早く気付くしく
み作りが重要だ。併せてメール添付の実行ファイルを実行させないしくみ、なりすまし
のメールやフリーメールを受信しないしくみが必要だろう。そして最大のポイントは個
人情報管理だろう。顧客情報を置くデータベースサーバーへのアクセスを制限するこ
と、端末が感染してもサーバーからの流出を防ぐシステムが重要になる。
私たち一般ユーザーには残念ながら、企業からの情報流出を防ぐ手立てはない。し
かし、メール添付でウイルスに感染させるサイバー攻撃は、個人でも被害が出ている。
メールの添付ファイルを安易に開かないことが大切だ。たとえ知っている人からのメ
ールであっても「その添付ファイルは本当に必要なのか?」と立ち止まって考えるクセ
をつけたい。
なお、流出の対象となる人へは順次、メールで連絡が来るとのことだ。利用者はJT
Bのオンラインサービスに登録しているメールアドレスをチェックしよう。データを悪用
したと思われる不審な連絡や被害を受けた場合は、下記のフリーダイヤルで相談して
ほしい。
・JTBによるお客様特設窓口・専用フリーダイヤル:0120-589-272、受付時間:
09:00~20:30(土・日・祝含む)
参考 URL
http://www.yomiuri.co.jp/science/goshinjyutsu/20160615-OYT8T50004.html
Fly UP