Comments
Description
Transcript
航空券eチケット添付のメールでマルウェアなどに感染させる手口
JTBのオンラインサービスから793万件の個人情報が流出したおそれがある。原因 は標的型攻撃メールを社員が開いてしまい、ウイルスに感染したため。実在する取引 先企業のメールアドレスになりすまし、航空券の偽装PDFファイルをメールで送りつ ける巧妙なものだった。(ITジャーナリスト・三上洋) 航空券eチケット添付のメールでマルウェアなどに感染させる手口 記者会見で謝罪するJTBの高橋社長(左)ら(14日午後、国土交通省で) 企業からの大規模情報流出が再び起きた。JTBのオンラインサービスに登録され ていた個人情報793万人分が、不正アクセスによって流出したおそれがある。JTB や「るるぶトラベル」などのオンライン予約サービスを使った人、NTTドコモの「dトラベ ル」、ヤフーの「Yahoo!トラベル」など提携先を使った人も対象になる。 流出したおそれのある項目は、氏名・生年月日・メールアドレス・住所・電話番号な どに加えて、4300件のパスポート番号も含まれていた。クレジットカード番号、銀行 口座情報、旅行の予約内容は含まれていない(JTB発表:不正アクセスによる個人 情報流出の可能性について)。 原因は「標的型攻撃メール」によるものだ。標的型攻撃メールとは企業などに偽メー ルを送りつけ、ウイルスに感染させて情報流出を狙うサイバー攻撃のこと。日本年金 機構の流出も標的型攻撃によるものだったが、今回のJTBの流出はさらに巧妙な手 口が使われていた可能性がある。 どんなメールで、なぜ感染してしまったのか、JTB広報室に電話で聞いた。手口の 分析は後述するとして、正確を期するために一問一答をそのまま掲載する。 JTBによる流出のおわび文書。793万人の個人情報が流出したおそれがある ――原因となったメールはどんなものか? JTB広報室「取引先の航空会社系列企業からのメールで、タイトルは『航空券控え 添付のご連絡』と書かれていた。本文には『お世話になっております』などの通常の挨 拶文のあとに、『eチケットを送付しますのでご確認下さい』という趣旨の文章があり、 送信元の署名もあった。署名は実在する取引先の会社名・部署と担当者名のものだ った」 ――添付ファイルはどのようなものか? JTB広報室「偽装されたPDFファイル(筆者注:文書ファイル)が添付されていた。フ ァイル名は『E-TKT控え』となっており、受け取った社員が航空券の確認だと思って 開封したところ、航空券のeチケット(筆者注:オンライン発行での航空券)が表示され た。その時点ではウイルス感染に気づかなかった」 ――eチケットを「E-TKT控え」というファイル名にするのは一般的か? JTB広報室「社内でも使う表記で、航空券のeチケットを『E-TKT控え』として添付 して送ることが多い」 ――偽装されたPDFファイルはウイルスに感染させる実行ファイルだったのか? JTB広報室「解析したところ、exe形式の実行ファイルだと判明した。『ELIRKS』と 『PlugX』の2種類のウイルスに感染させるものだった」 ――送信元のメールアドレスはどんなものだったか? JTB広報室「メールアドレスの『@』マーク以下のドメインは、実在する取引先企業 のもの。『@』マークより前はよくある日本人の名前になっていた」 ――メールアドレスの偽装によるなりすましだったのか、それとも取引先企業が不正 アクセスを受けていたのか? JTB広報室「なりすましだと判明している」 ――ウイルスに感染した台数は? JTB広報室「パソコン6台と、サーバー2台が感染した」 ここでの大きなポイントは、メールの偽装が巧妙なことだ。取引先企業のメールアド レスになりすまして、航空券のeチケットに偽装したファイルが添付されていた。JTB は顧客の航空券の確認だと信じてしまい開封してしまっている。犯人は明らかに旅行 会社であるJTBをターゲットにしている。 実際の取引先の署名があり、メールアドレスもなりますしだが実在するもの、しかも 添付されてきたのが「E-TKT控え」という社内でもよく使っているファイル名になって いる。実に巧妙な偽装であり、その時点で標的型攻撃メールだと判別するのは難しか っただろう。日本年金機構の標的型攻撃メールではフリーメールが使われていたが、 今回は本物のドメインのメールアドレスに偽装していたため見破るのは困難かもしれ ない(なりすましメールを遮断するしくみがなかったのかは今のところ不明)。 筆者の推測ではあるが、犯人は実際のメールのやり取りをどこかで入手し、それを 参考に標的型攻撃メールを作ったのではないか。とても巧妙な偽装だからだ。もしか したら、これ以外にどこかでマルウェア感染があり、メールのやり取りが流出している 可能性がある。 原因となったウイルスは、広報室によれば2種類とのこと。そのうち1種は標的型攻 撃メールでよく使われるウイルスで、犯人からの遠隔操作で情報の抜き取りなどがで きるものだ。 発表が遅れたのは「調査と情報の特定に時間がかかったため」 標的型攻撃メールの開封、ウイルス感染、発表までの時系列。流出のおそれがあるとわ かってから発表までに1か月かかっている 今回の流出では、JTBが代行している他社のトラベルサービスの情報も流出してい る。また、発表が遅れたことも問題になりそうだ。5月13日の時点で情報流出を確認 していながら、発表は1か月後の6月14日だった。このことについてJTB広報室に聞 いた。 ――NTTドコモの「dトラベル」も被害を受けているが、なぜJTBでの流出に関係があ るのか? JTB広報室「オンラインサービスの子会社『i.JTB』では、他社のトラベルサービス の運営を請け負っている。その一つがNTTドコモの『dトラベル』で、弊社からの流出 により、『dトラベル』のデータも流出してしまった」 ――「dトラベル」以外にも流出はあるか JTB広報室「他の会社のものもあり、各社へおわびの連絡を差し上げている。現時 点では弊社からは発表することができない」 (筆者注:Yahoo!トラベルからも同様の発表があった) ――流出したサービスに「JAPANiCAN(ジャパニカン)」があり英語のサービスだ。 流出データには外国人のものも含まれているのか? JTB広報室「JAPANiCAN(ジャパニカン)は訪日される外国人向けのサービス。そ のため流出データに外国人の個人情報も含まれている」 ――5月13日に流出がわかってから発表までに1か月過ぎている。なぜ遅れたの か? JTB広報室「不正アクセスが継続して起きており、通信経路の遮断をその都度行っ ていた。そのためサーバーの調査に時間がかかったことが一つの原因だ。また、情報 が特定できない段階で公表すると、かえってお客様に不安を与えると判断し、流出情 報が特定できた段階で公表させていただいた」 JTBの発表によれば、3月19日の段階で「本来個人情報を保有していないサーバ ーにおいて、内部から外部への不審な通信を複数確認」しており、その後に外部のセ キュリティー専門会社と協力して調査・分析・対応を行っている。そこから約2か月たっ た5月13日に「外部からの不正侵入者」が作成・削除したファイルに個人情報が含ま れていることを確認。データを分析し復元し終わった6月14日に発表という流れだ。 つまり怪しい通信が確認されてから3か月、個人情報が含まれていることを確認し てから1か月も過ぎてからの発表となる。対応に時間がかかったことは理解できるが、 流出した顧客への周知が遅くなったことは否めない。今のところ被害は確認されてい ないとのことだが、発表が遅くなったことで二次被害が出ることも考えられる。提携先 企業からの発表も、15日午前7時の時点ではNTTドコモとYahoo!トラベルの2社 のみとなっている。他社からの発表、顧客への周知が遅れていることが心配だ。 JTBが代行していた他社のサービスでは、15日7時の時点で、NTTドコモの「dトラ ベル」、及びヤフーの「Yahoo!トラベル」から以下のような発表がある。いずれもJT Bから流出があった可能性があるとのことだ。 ・JTBの「個人情報流出の可能性」に関する発表について:Yahoo!トラベル公式ブ ログ ・提携先のJTB社のグループ会社サーバーへの不正アクセスに伴う「dトラベル」の個 人情報流出の可能性について:NTTドコモ 防ぐのが難しい標的型攻撃。企業側の総合的な対応が必要に 企業からの情報流出が続く中、JTBからの流出は、標的型攻撃メールが巧妙にな っていること、個人情報の管理が企業の生命線となることを浮き彫りにした。 4300件のパスポート番号が流出しているおそれがあるが、再発行の費用をJTB が持つとしても約7000万円かかる(10年のパスポートの場合)。しかも、今回の場 合は外国人のパスポートも含まれているので、これよりも手数料が高い国もあるかも しれない。加えて、793万人に対して何らかのおわびをするコストもかかる。JTBは 今回の流出で大きな負担を強いられるだろう。提携先サービスでの流出も起きたこと から、JTBへの信頼も揺らいでいる。 日本年金機構での流出から、標的型攻撃への対策が急務となり、大手企業の多く はセキュリティー対策を強化している。しかし、今回のような巧妙な標的型攻撃メール はだまされる可能性が高く、メールの開封をゼロにするのは難しいと考えられる。 そのため企業では、開封しても感染を最小限にする手立てや、感染を早く気付くしく み作りが重要だ。併せてメール添付の実行ファイルを実行させないしくみ、なりすまし のメールやフリーメールを受信しないしくみが必要だろう。そして最大のポイントは個 人情報管理だろう。顧客情報を置くデータベースサーバーへのアクセスを制限するこ と、端末が感染してもサーバーからの流出を防ぐシステムが重要になる。 私たち一般ユーザーには残念ながら、企業からの情報流出を防ぐ手立てはない。し かし、メール添付でウイルスに感染させるサイバー攻撃は、個人でも被害が出ている。 メールの添付ファイルを安易に開かないことが大切だ。たとえ知っている人からのメ ールであっても「その添付ファイルは本当に必要なのか?」と立ち止まって考えるクセ をつけたい。 なお、流出の対象となる人へは順次、メールで連絡が来るとのことだ。利用者はJT Bのオンラインサービスに登録しているメールアドレスをチェックしよう。データを悪用 したと思われる不審な連絡や被害を受けた場合は、下記のフリーダイヤルで相談して ほしい。 ・JTBによるお客様特設窓口・専用フリーダイヤル:0120-589-272、受付時間: 09:00~20:30(土・日・祝含む) 参考 URL http://www.yomiuri.co.jp/science/goshinjyutsu/20160615-OYT8T50004.html