JTBが受けた不正アクセスの要点を整理する

　JTBは6月14日、自社サーバーが不正アクセスを受けて約793万件の個人情報が流出したと発表した。その後、漏えい件数は約678万件に訂正されたが、かなりの数の個人情報が漏えいした可能性がある。これまでの報道や専門家のブログなどからポイントを抽出すると以下が挙げられる。

なぜ標的型攻撃を防げなかったのか
なぜサーバー、データベースまでアクセスできたのか
JTB側に問題はあったのか
漏えいデータの悪用など被害はあったのか
攻撃者の意図とは何か

標的型攻撃は、基本的に防げないもの？

　今回の事件における最初の攻撃は、旅行の申し込みや手配などを行う窓口に届いたメールから始まった。取引先を装ったメールの添付ファイルを開いたことにより、JTBグループ会社のi.JTB（アイドットジェイティービー）のパソコンがウイルスに感染した。

　効果がないとはいわないが、標的型攻撃を防ぐには「不審なメールを開かない」はあまり意味がない。取引のある航空会社からのメールと思えば、多少不審点があっても開かざるを得ないし、ビジネスを考えた場合、注文窓口やサポート窓口への問合せ経路はオープンで分かりやすくしておくべきだろう。

　ファイアウォールやセキュリティソフトによってある程度のフィルタリングは可能だが、不特定多数が使うことを前提としているメールシステムで、自分にとって都合のよいメールだけを受信するということは不可能なのだ。

　これらの対策としては、添付ファイルの実行環境を分離する、フロントエンドとバックエンドの分離・アクセス制御の徹底・監視機構の導入など、不審なメールも受け入れてしまうリスクを想定した仕組みや運用が必要だ。

JTB側の問題は何だったのか

　JTB側の問題はどこにあったのか。筆者は情報を漏えいさせたこと以上に、「その後の対応」にあると考える。

　いくつかのメディアが指摘しているが、攻撃メールを受信して4日後（3月19日）にはシステム監視会社が不審な通信を報告し遮断措置をとっていながら、本社への報告が5月半ばまで行われず、公式発表が6月までずれ込んだ。初動の悪さというより、エスカレーションに問題があったのではないだろうか。

　状況を正確に把握しなければ公式発表ができないという理屈は、大企業の理論として間違っていない。しかし、攻撃者や犯罪者の動きはそれ以上に迅速であると思ったほうがよい。可能性があるという段階でも、ユーザーにはパスワードの変更やアカウントの停止などの措置をとってもらうために、すみやかに報告する必要があった。

　実際、JTBにはすでに不審なメルマガやメールが届くようになったという問い合わせがきているという。もちろん、その不審メールがどんな経緯で届いたかなど確認しようがない。情報が漏れたと思うとなんでも不審なメールに思えてしまうユーザー心理も働く。これなど、調査中でも適切な情報提供を行っていれば防げた問題かもしれない。

　また、可能性のあるユーザーへの連絡をメールで行うとしたというのも問題だ。便乗した新たな攻撃メールを誘発しかねないからだ。

　さらに、今回の不正アクセスを分析する上では、JTB側の発表に少し不足している点がある。なぜデータベースへの攻撃がなされたのか？　という点だ。メールを受ける窓口業務の端末が添付ファイルを開いたとしても、通常サーバーやデータベースのアクセス権限を取得したりするまでは、何ステップも攻撃やハッキング手順が必要だ。

　外部へのデータ送信が複数の経路で行われていたという報道もあるので、窓口端末、外部のwebサーバー、内部サーバー、バックエンドデータベースなど内部のネットワークセグメントはいくつかに分離されていたものと予想される。

　しかし、その場合なおさら、イントラネット内の設定、アクセス制御、アカウント管理（JTB側はActive Directoryへの不正アクセスはないとしている）に問題がなかったかの検証が必要だ。

【次ページ】JTBの個人情報漏えい、その被害と対策