ブログトップ 記事一覧 ログイン 無料ブログ開設

piyolog RSSフィード

2016-06-14

JTBへの不正アクセスについてまとめてみた

| 02:28 |  JTBへの不正アクセスについてまとめてみたを含むブックマーク

2016年6月14日、JTBは同社のサーバー不正アクセスを受け、顧客情報が漏えいした可能性があると発表しました。ここでは関連情報をまとめます。

公式発表

今回の不正アクセスによる影響はJTB他、同社の提携サービスを展開している他社にも波及している。

JTBグループ
JTB提携先

NTTドコモ

Yahoo!Japan

DeNAトラベル

観光庁

旅行業界情報流出事案検討会関連

情報共有会議関連

インシデントタイムライン

JTBグループ関連 (事案発生〜JTB本社把握まで)
日時主なアクター出来事
2016年3月15日i.JTB
攻撃者
取引先を偽装したメールが届き、i.JTBの端末がマルウェア感染
2016年3月18日i.JTBi.JTBの端末で起動不可の事象発生。当該端末をネットワークから分離。
2016年3月19日〜24日攻撃者?i.JTBの商品情報配信制御サーバーより不審な通信の発生を複数確認。
2016年3月19日システム監視会社
(セキュリティ会社A)
JTB情報システムへWebサーバー上で不審な通信を確認したと通知。
同日JTB情報システムズWebサーバーネットワークから分離し、ウィルススキャンを実施。
2016年3月20日JTB情報システムズウィルススキャンの結果、Webサーバーからは異常は検出されず。
同日JTB情報システムズi.JTBへスキャン結果を報告。
同日i.JTB不審な通信先1つの遮断措置を開始。*1
2016年3月21日攻撃者?i.JTBサーバー内にデータファイルを作成。
同日攻撃者?サーバー内に作成されたデータファイルを削除。
同日i.JTB商品情報データベースサーバー上でディスク容量不足を検知。
同日i.JTB拡張子が無い比較的容量の大きなファイルを確認。業務上不要と判断して削除。その後容量不足は解消。
2016年3月24日セキュリティ会社A
i.JTB
JTB情報システムズ
通信経路を確認し、さらに2つの通信先を遮断。
2016年3月25日JTB情報システムズさらに1件の通信先を遮断。(不審な通信先の遮断措置を完了。) *2
同日JTB情報システムズi.JTBの端末5台が不正な通信に失敗していることを確認。
同日i.JTB
セキュリティ会社B
2社で連携し調査を開始。
2016年3月28日セキュリティ会社B端末、サーバーマルウェア感染していたことを特定。
同日セキュリティ会社B
JTB IT部門
i.JTB
JTB情報システムズ
情報共有ミーティングを開催。
2016年3月29日セキュリティ会社B商品情報データベースサーバーを解析。3つのCSVファイルが作成され、その後削除された痕跡を確認。
同日セキュリティ会社B削除されたCSVファイルの復元に着手。
2016年3月31日i.JTB復元されたCSVファイルの一部の内容を確認。
同日i.JTBセキュリティ会社Bへ商品情報データベースサーバーに存在しないデータを確認したと連絡。
2016年4月1日セキュリティ会社B不審な通信の発生原因やCSVファイルの作成経緯、およびその内容に個人情報関連が想定されるデータが含む可能性があることをi.JTBJTB IT部門JTB情報システムズへ報告。
同日JTB情報システムグループ全社向けCSIRTを立ち上げ。
2016年4月13日JTB IT部門
i.JTB
JTB情報システムズ
セキュリティ会社B
CSVファイルの元データは実績サーバーのデータである可能性が高いと確認。
2016年4月22日セキュリティ会社B3月15日にi.JTBの添付ファイル開封により端末が感染したとJTB IT部門、i.JTBJTB情報システムズへ報告。
2016年5月13日セキュリティ会社Bこの日までに把握した事実をJTB IT部門、i.JTBJTB情報システムズに総括。個人情報漏えいの可能性の認識をすべきと説明
2016年5月16日JTB IT部門JTB IT担当役員内部統制担当部門へ報告。*3
JTBグループ関連 (JTB本社把握〜発表まで)
日時主なアクター出来事
2016年5月16日JTBここから初めて対応を開始。
2016年5月17日セキュリティ会社B容量の大きいファイルを除く、複数のCSVファイルをi.JTBへ送付。
同日i.JTB対象者特定のためCSVファイルの正規化作業に着手。
同日JTB IT担当役員JTB社長へ報告。
同日JTBJTB社長を本部長とする事故対策本部を設置。公表方針を決定。
2016年5月23日JTB同社社員に対し、類似事象の注意喚起。
2016年5月30日JTB警視庁(品川警察署)へ被害相談。*4
同日i.JTBサーバーの遠隔操作を禁止する設定を実施。(6月2日に作業完了。)
2016年5月31日JTB観光庁へ事案に関する相談。*5
同日i.JTB実績サーバーより個人情報削除に着手。(6月21日に作業完了)
2016年6月2日i.JTBNTTドコモ個人情報漏えいの可能性があると報告。
同日JTB警視庁サイバー犯罪専門部署へ相談。
同日i.JTB個人情報を格納するサーバーのアクセス制限作業に着手。(6月21日に作業完了)
2016年6月8日i.JTB業務用端末の管理共有設定を停止する作業に着手。(6月21日に作業完了)
2016年6月9日i.JTB業務用端末のインターネット閲覧を禁止する作業に着手。(6月10日に作業完了)
2016年6月10日JTB事故対策本部の調査により、漏えいの可能性がある詳細状況(約793万件)を把握。
同日JTBNTTドコモへ調査結果を報告。
2016年6月13日JTB観光庁個人情報漏えいの可能性に関する詳細報告。
2016年6月14日 17時JTB不正アクセスによる顧客情報漏えいの可能性について発表。
同日JTBマルウェアを駆除できるようウィルス対策ソフトの定義ファイル更新作業に着手。(6月20日に完了。)
2016年6月15日JTB新しい定義ファイルでグループ各社の業務端末、サーバーをフルスキャンする作業に着手。(6月17日作業完了)
同日まで警視庁当該事案について捜査に着手したと報道
JTBグループ関連 (事案発表後)
日時主なアクター出来事
2016年6月15日観光庁JTBに対し、6月24日までに個人情報保護法に基づく報告を指示したと発表。(指示は14日)
2016年6月16日JTB漏えいの可能性のある利用者へ連絡内容に関する案内を掲載。連絡も開始。(6月23日時点で595万通を送付)
2016年6月17日国土交通省JTB事案を受けて有識者委員会を設置することを発表。
2016年6月20日i.JTBCSVファイルの正規化作業完了。グループ各社で一斉踏査に着手。(6月24日に作業完了)
2016年6月21日観光庁旅行業界情報流出事案検討会を設置することを発表。
2016年6月24日JTB観光庁へ指示に基づき経緯、再発防止策をまとめた報告書を提出。
同日JTB記者会見を開き、調査委員会の設置、及び対象件数等複数事項の修正について発表。
2016年6月25日観光庁JTBの「九州ふっこう割」の販売を当面認めない方針報道*6
2016年6月28日観光庁第1回の情報共有会議を開催。*7
2016年7月1日JTB専務をCISOに任命。ITセキュリティ専任統括部門を設置。
2016年7月8日観光庁第1回の旅行業界情報流出事案検討会を開催。
2016年7月22日観光庁第2回の旅行業界情報流出事案検討会を開催。
2016年7月28日観光庁第2回の情報共有会議を開催。*8

|2016年9月16日|観光庁|第3回の旅行業界情報流出事案検討会を開催。*9

提携先関連
日時主なアクター出来事
2016年6月14日NTTドコモJTB提携サービス(dトラベル)で顧客情報漏えいの可能性があると発表。
同日Yahoo!JapanJTB提携サービス(Yahoo!トラベル)で顧客情報漏えいの可能性があると発表。
同日DeNAトラベルJTB提携サービス(同社、およびauトラベル)で顧客情報漏えいの可能性があると発表。
2016年6月16日NTTドコモ株主総会にて謝罪と対策の強化を発表。*10

被害状況

不正アクセスを受けた組織

i.JTB(アイドットジェイティービー)

漏えいした可能性のある件数と対象期間

対象サービスにおいて、次の期間に予約していた場合漏えいした可能性がある。

対象組織漏えい可能性の件数対象期間
JTB約793万件(提携分含む)
⇒6/24重複分が判明
対象人数は678万8334人*11
2007年9月28日 〜 2016年3月21日 *12 *13
NTTドコモ約33万件2014年2月27日2016年3月21日
Yahoo!トラベル発表内容に含まれておらず不明発表内容に含まれておらず不明
DeNAトラベル6,562件発表内容に含まれておらず不明
auトラベル by DeNAトラベル4,462件発表内容に含まれておらず不明
  • 販売促進メール等を送る870万人分データ(実績データベース)の一部*14。9割以上が漏えいした可能性がある。*15
  • JTB内外のオンライン販売提携先でJTB商品を予約した利用者は約50万件が対象。
  • パスポート番号は9154件が含まれる。2016年6月14日時点で有効なパスポート情報は4359件。*16
  • 訪日外国人の情報も最大約70万人分が含まれる。*17
  • JTBは悪用の事実は確認していない。
漏えいした可能性のある顧客情報の項目

次の情報の一部、または全部が漏えいした可能性がある。

次の情報にはパスポート関係の情報は含まれていない。

次の情報は対象に含まれていない。

パスポート番号漏えいに関する見解、考察

担当者は「番号や取得日が流出していても、パスポートの冊子じたいを手元にお持ちであれば、過剰な心配には及ばない」と話し、番号が漏れてしまった人も、再発行手続きなどは「不要だと考えている」という。外務省としても、今回の問題に伴う特別な対応などは「考えていない」という。

http://www.itmedia.co.jp/news/articles/1606/15/news102.html
本事案の対象サービス・提携先
対象対象サービス
JTB次のWebサイトで予約を行った利用者
JTBホームページ
るるぶトラベル
JAPANiCAN

オンライン予約後に店舗清算をした場合も対象
NTTドコモdトラベル
Yahoo!JapanYahoo!トラベル
DeNAauトラベル by DeANAトラベル 国内宿サービス利用時
DeNAトラベル 国内宿サービス利用時
(いずれも漏えいの可能性があるのは一部)
  • 提携サービスは明らかになっているものを記載。

次に該当する商品を予約していたユーザーは対象外である。

次の店舗等で予約をした利用者は対象外である。

第三者が作成したデータファイルに関連する情報
  • 個人情報CSVファイルに格納されていた。
  • 復元されたデータは一部が欠損。氏名や生年月日がランダムに配置されており正規化をしなければ対象者を特定できない状態であった。
不正アクセス発表後に報告された不審メールに関する情報
  • ユーザーより見知らぬメールを受信したとする報告が約100件程度ある。*18
  • 届いたメールはメールマガジン等が含まれている。
JTBへの不正アクセスに関連する情報
  • 個人情報を含むデータファイルは外部に送出した通信ログを確認できておらず、漏えいした可能性という表現とした。*19ただし何者かの情報閲覧の可能性は否定していない。
  • プロキシログ、通信の出口のログ(FW?)は基本的に取得されていたが、一部の通信ログは取得されていなかった。*20
  • 特定の通信経路で異常通信のログは取得していたが、正常な通信ログは取得していなかった。
  • ログ取得の不備が一部あったことについて意図的なものではないとJTB取材に回答している。
感染が確認されたマルウェアに関連する情報

i.JTBマルウェア感染状況は次の通り。

対象台数概要
PC6台i.JTBオペレーター端末
サーバー2台
⇒6/24修正
台数明らかにせず(3台以上?) *21
Webサーバー
商品情報社内配信用の制御サーバー

本事案で確認されたとして、報じられているマルウェアは次の2種類。*25

  • ELIRKS
  • Korplug (PlugXとも呼称)

関連情報

発端

不審な通信先を発見した経緯
全遮断の措置をとらなかった理由
  • 通信の発生起因が標的型攻撃によるものとの認識がなかった。
  • 事案の大きさに関する認識も不十分であった。
  • 技術的、および業務的には全遮断は2016年3月20日時点で実施することは可能であった。
発表が遅れた理由
  • 対象者の特定が不十分な状態では利用者に不安と混乱を招くことを懸念し、特定できた段階で公表する方針とした。*26
  • 方針決定は事故対策本部が行ったもの。

原因

  • 取引先を偽装して届いたメールに添付されていたマルウェアをi.JTBのオペレーターが誤って実行してしまったことによる。
  • 担当オペレーターは20代女性社員。
  • JTBは開封してしまった担当オペレーターを責めておらず、一方で社内のルールの見直しも検討する必要があると会見にてコメント。
i.JTBへ届いたメールの詳細
  • JTBはi.JTBへ届いたメールは標的型攻撃メールであると発表。
  • 実際の取引先の航空会社(サプライヤー)を偽装したメールであった。
  • 担当者は問い合わせを行った利用者を確認できないとして、メールで返信をしていた。*27
  • オペレーターが返信したメールは不達であったが、オペレーターはこれに気が付いていなかった。
宛先問い合わせ受付用代表メールアドレス
送信海外のレンタルサーバーから送信された可能性。
FROMアドレス送信元ではなくメールソフトに表示される個所。
全日空系列会社のドメイン、「ana」の文字が含まれる。*28
日本人のありふれた苗字がアルファベットで表記
件名「航空券控え 添付のご連絡」
添付ファイル圧縮ファイルが添付されていた。
「E-TKT控え」という名称のPDFファイルが含まれていた。*29
EXE形式の実行ファイルをフォルダアイコンで偽装していた*30
このファイルを実行するとPDFファイルが表示される。
eチケットを「E-TKT」といったファイル名とするのは社内でも使われる表記。
本文次の内容が本文に書かれていたと報じられている。
・挨拶の定型文 「お世話になっております」が記載されていた。
・「eチケットを送付しますのでご確認ください」「お客様の旅行内容を確認したい」といった内容であり不自然な文面ではない。
・実在する取引先の会社名、部署名、担当者名(担当者は実在しない模様)の署名が記載されていた
  • 本文なし、添付ファイル名は「北京行きのEチケット」(PDFファイル)であったとの報道もある。*31 これは会見を受けてのものと思われるが、後日ITpro取材にてJTB広報室が本文は存在したと訂正している。

JTBの対策・対応

対応が完了した対策・対応
継続して対応中の対策
  • 継続的な情報収集を行い、新事実を確認した場合は利用者へ連絡する。
対応予定の対策

2016年6月14日、及び24日時点で対応予定の対策は次の通り。

14日発表の対策

24日発表の対策*32

疑似メール訓練を行っていた
  • 2年前より定期的(1か月に2回)に疑似的な攻撃メールを送る訓練を行っていた。*33
警察への被害相談
  • 警視庁が対応。
  • 相談は行っているが通信先が海外であること、そして漏えいしたと断定に至る情報が確認できておらず被害届は提出していない。*34

対象利用者への対応

  • 当該サービスに登録しているメールアドレス宛に連絡
  • 2016年6月24日午前までに一部法人をのぞきメールを送信
  • 送信したメールの内、約2割と連絡が取れず。(連絡不能者への対応内容は不明)
  • 特設窓口を設置。

連絡は次のアドレスより行われる。(いずれも送信専用)

JTB 特設問い合わせ窓口

【お客様特設窓口】

    専用フリーダイヤル:0120−589−272

          受付時間:09:00〜20:30(土・日・祝含む)

  • Yahoo!トラベルで案内されている窓口もJTBのこの窓口となる。
NTTドコモ 特設問い合わせ窓口

【dトラベルお客様特設窓口】

フリーダイヤル : 0120-569-222

受付時間 : 午前9時〜午後8時30分(土曜・日曜・祝日含む)

DeNAトラベル 問い合わせ窓口

【お客様ご連絡窓口】

電話番号: 03-6866-5978

受付時間:10:00 ~ 18:00 (平日のみ)

JTBからの連絡メール

パスポート情報が漏れた可能性のない利用者への連絡メールは次の通り。

※本メールは、個人情報が流出した可能性がある方に送信しております。

すでに、お客様特設窓口(フリーダイヤル)にお問い合わせいただいた方には、

重ねてのご案内になりますがお許しください。

 

お客様各位

 

このたび、弊社のインターネット販売を主とするグループ会社である

株式会社i.JTB(アイドットジェイティービ−)のサーバーに、

外部からの不正アクセスがありました。

お客様にはご迷惑、ご心配をおかけすることになりましたことを

深くお詫び申し上げます。

調査委の結果、本メールを受信したお客様の個人情報が一部流出した可能性が

あることが判明いたしましたので、ご登録のメールアドレス

ご連絡を差し上げております。

なお、お客様の情報には、現在有効なパスポート番号・取得日の情報は

含まれていないことを確認できております。

含まれていた個人情報は、オンライン予約の際に入力された

以下の(1)〜(7)の一部または全部の情報となります。

(1)氏名

(2)性別

(3)生年月日

(4)(本メールを受信された)メールアドレス

(5)住所

(6)郵便番号

(7)電話番号

 

なお、クレジットカード番号、銀行口座情報、ご旅行の予約内容は

含まれておりません。

また、現在のところ、個人情報を悪用されたことによる被害の報告は、

入っておりません。

 

経緯等詳細につきましては、

JTBグループサイト『感動のそばにいつも』トップページより

不正アクセスによる個人情報流出の可能性について」をご参照ください。

※安全のため、本メールからURLへのアクセスを求めることを

差し控えさせていただいております。

ご不便をおかけしますが、検索によりアクセスをお願いいたします。

 

お客様にお願いではございますが、弊社が本案件の確認を理由に、電話・郵便・

メール等で、クレジットカード番号・銀行口座情報・暗証番号・ID/パスワード

マイナンバー等をうかがうことは絶対にございません。

弊社を名乗った詐欺等にはくれぐれもご注意いただきますよう

お願い申し上げます。

 

また、万が一、身に覚えのない連絡があった場合や、

個人情報を不正に利用された事実があった場合は、

下記、お客様特設窓口までご連絡を賜りますようお願い申し上げます。

 

*本メールは送信専用のため、ご返信いただけません。

========================================================================

【お客様特設窓口】

専用フリーダイヤル:0120-589-272

受付時間:9:00〜20:30(土日・祝日も受け付けております)

 

株式会社ジェイティービー

観光庁長官登録旅行業第64号

〒140-8602 東京都品川区東品川2丁目3番11号

更新履歴

*1JTB情報流出 遅れた外部接続遮断,毎日新聞,2016年6月15日アクセス

*2また「標的型メール」…JTB「認識甘かった」,読売新聞,2016年6月15日アクセス

*3JTB顧客情報流出、役員把握は1か月半後,読売新聞,2016年6月27日アクセス

*4不正アクセス容疑で捜査=JTB情報流出−警視庁,時事通信,2016年6月15日アクセス

*5JTB情報漏洩、国交省が有識者委設置へ,日本経済新聞社,2016年6月17日アクセス:魚拓

*6JTB系サイト当面認めず 国助成の九州割安旅行 情報流出で検証,スポニチ,2016年6月25日アクセス:魚拓

*7観光庁、旅行会社と「情報共有会議」、JTB問題受け,TravelVision,2016年6月29日アクセス:魚拓

*8情報流出検討会が再発防止策、旅行会社に責任者、ガイドラインも,TravelVision,2016年7月24日アクセス:魚拓

*9情報流出検討会、2事案の検証完了、年度内に暫定ガイドライン,TravelVision,2016年9月21日アクセス:魚拓

*10dトラベルの個人情報流出、ドコモが謝罪 「非常に高度な標的型メール攻撃」で対策強化を表明,ITmedia,2016年6月19日アクセス:魚拓

*11情報管理で最高責任者=流出問題で再発防止策−JTB,時事通信,2016年6月24日アクセス

*12JTBから個人情報流出か…最大で793万人分,読売新聞,2016年6月15日アクセス

*13JTB 個人情報793万人分流出か,日テレNEWS24,2016年6月15日アクセス:魚拓

*14JTB情報流出 遠隔操作で保管とは別のサーバーに移動か,毎日新聞,2016年6月15日アクセス

*15JTB 最大793万人分流出か 顧客情報 不正アクセス 提携運営の「dトラベル」でも,産経ニュース,2016年6月15日アクセス:魚拓

*16最大793万人の個人情報流出=JTB子会社に不正アクセス,時事通信,2016年6月15日アクセス

*17外国人約70万人も情報流出の可能性 観光立国政策に影響も,産経ニュース,2016年6月19日アクセス:魚拓

*18不審メルマガの相談100件 不正アクセスでJTB,朝日新聞,2016年6月24日アクセス:魚拓

*19JTB、顧客情報793万人分流出か 取引先装うメール ドコモ顧客33万人分も含む,日本経済新聞社,2016年6月15日アクセス:魚拓

*20「流出事実ないがお客様にお詫びする」、793万人の情報流出可能性でJTBの高橋社長が謝罪,ITpro,2016年6月14日アクセス:魚拓

*21JTB情報流出、感染サーバー3台以上 再発防止策など公表,産経ニュース,2016年6月25日アクセス:魚拓

*22JTB、最大793万人分の情報流出か 不正アクセスで,朝日新聞,2016年6月15日アクセス

*23JTB、外部侵入者が閲覧の可能性 「標的型メール」か ,2016年6月15日アクセス:魚拓

*24JTB、感染後の通信遮断に遅れ 対応不備認める,朝日新聞,2016年6月15日アクセス:魚拓

*25JTB パソコンを遠隔操作するウイルスに感染か,NHK,2016年6月15日アクセス:魚拓

*26JTB 不正アクセス、最大793万人分の情報流出か,毎日新聞,2016年6月15日アクセス

*27情報流出…JTB、対応後手に 巧妙な標的型メール,産経ニュース,2016年6月15日アクセス:魚拓

*28JTB個人情報流出 ウイルス添付のメールは全日空からを装う,NHK,2016年6月16日アクセス:魚拓

*29JTB、個人情報流出か、約793万人分−7月に対策部門新設,Travel vision,2016年6月15日アクセス:魚拓

*30JTB個人情報793万件流出か?…標的型攻撃の巧妙な手口,読売新聞,2016年6月15日アクセス

*31【情報流出】あなたは見抜けるか JTB がはまった「巧妙なメール」の罠とは,BuzzFeed Japan,2016年6月15日アクセス:魚拓

*32JTB、情報流出で再発防止策を報告 外部調査委を設置,日本経済新聞,2016年6月24日アクセス:魚拓

*33JTB情報流出 また「標的型メール」 巧妙偽装、防げず,2016年6月15日アクセス

*34JTB情報流出 周到な攻撃、捜査難しく,毎日新聞,2016年6月15日アクセス