JTB子会社へのサイバー攻撃、インシデント対応で分かったことは？

外部からの不正アクセスにより約793万人分の個人情報が漏えいした可能性がある。提携先のドコモユーザー33万人分の情報も含まれているという。

[ITmedia]

JTBグループ子会社でマルウェア添付ファイルのメールから不正アクセスにいたった

　旅行会社大手のジェイティービー（JTB）は6月14日、グループ会社でネット販売を手掛けるi.JTBが不正アクセスを受け、約793万人分の個人情報が漏えいした可能性があると発表した。JTBと提携するNTTドコモも同日、同社ユーザー33万人分の情報が含まれていることを明らかにした。

　JTBによると、不正アクセスの原因とみられる事象は3月15日に発生したという。取引先を装うメールの添付ファイルを開封してi.JTB内のPCがマルウェアに感染した。この時点で感染には気が付けなかったとしている。

　その後、同月19日から24日にかけてi.JTB内のサーバから外部サーバへの不審な通信が複数検知された。発信元サーバは、本来個人情報を保有していないという。JTBでは不審な通信を特定して遮断し、同時にネットワーク内の全てのサーバとPCを調査。4月1日に、サーバ内で攻撃者が3月21日に作成、削除したファイルの存在が見つかったとしている。

　i.JTBは、業務委託先の外部のセキュリティ専門会社と共同でマルウェアを駆除し、攻撃者が作成、削除したとみられるファイルを復元。不正アクセスの調査や分析、対応を進めた。5月13日に復元したファイルに個人情報が含まれることが分かったという。これを受けてJTBは「事故対策本部」を設置し、6月14日に一連の事態を公表した。

　JTBによれば、流出した可能性がある個人情報は氏名（漢字・カタカナ・ローマ字）、性別、生年月日、郵便番号、住所、電話番号、パスポートの番号と取得日。クレジットカード情報や銀行口座情報、旅行予約情報は含まれていないという。対象は、「JTBホームページ」「るるぶトラベル」「JAPANiCAN」のオンライン予約利用者と、提携サイトでJTB商品を予約された顧客。6月14日時点で情報が流出した事実や悪用の事実は認められていないとした。

　NTTドコモは、6月2日にi.JTBから事態が発生したとの報告を受けたという。10日になって「dトラベル」から利用した33万人分の情報が含まれる可能性が分かった。

JTB子会社へのサイバー攻撃の影響はNTTドコモにも波及

　JTBは、事後対策として（1）特定された外部への不正通信の遮断、（2）感染範囲の特定とマルウェア駆除、（3）個人情報へのアクセス制御の強化――を講じ、NTTドコモはこれら対策の妥当性を確認したという。

　JTBは影響の可能性がある顧客への連絡などの対応を継続。今後はITセキュリティ専任統括部門を設置し、セキュリティ専門会社との連携を図るほか、グループ社員へのITセキュリティ教育でサイバー攻撃の実践的な演習を実施して攻撃を察知できるように訓練すると表明している。