JTBの個人情報漏洩事故の経緯と、暗号化の必要性

IT・IT製品TOP > Key Conductors > 金 ドクス(ペンタセキュリティシステム株式会社) > JTBの個人情報漏洩事故の経緯と、暗号化の必要性
この記事をtweetする このエントリーをはてなブックマークに追加

IT現場の道先案内人 Key Conductors

JTBの個人情報漏洩事故の経緯と、暗号化の必要性

エンドポイントセキュリティ 2016/07/01

JTB(ジェイティービー)から約793万人の個人情報の流出が疑われる事故が発生した。事故の経緯はこうである。

JTB個人情報漏洩事故の経緯

2016年3月15日、旅行商品のインターネット販売を行う子会社であるi.JTBに問題のメールが送られてきた。約250人のオペレーター体制で顧客に対応している中、既存の取引先の社名でのお問い合わせメールであったため、通常の業務処理を行った。メールに添付されていた圧縮ファイルの中にはPDF形式の電子航空券(eチケット)が入っており、圧縮を解除しファイルを開いたが、航空券には申請者の名前が書かれていなかった点と、本文にもこれといった内容がなかったため「無効」メールに分類し、処理を終えた。

このオペレーターのコンピュータは、この時から添付ファイルに仕組まれていた内部ネットワーク侵入用マルウェアに感染されていたが、これを検出するアンチウイルスワクチンプログラムはその役割を果たせなかった。

3月19日、社内Webサーバから外部への異常な通信が発覚。当のWebサーバを一旦物理的に分離した後、問題になった回線を遮断すべく、ブラックリストに登録するなどの措置を行った。その後も、異常な通信はまた発生していた。

4月1日、顧客向けの広報メールやアンケート調査などに使用される個人情報データを保存する「実績データベース」内部に外部からの侵入によりCSV(Comma-Separated Values:データフィールドをコンマで区分したテキストデータファイル、主にお互いに互換されないフォーマットを使用するプログラム同士で資料を受け渡すとき使用される)ファイルが生成され、削除された痕跡が発見された。生成ルートは不明、削除命令は商品情報などの情報を社内の各サーバに転送する制御サーバにより実行されたとみられる。

5月13日、生成された後、すぐ削除されたCSVファイルの復元中に該当ファイル内部に顧客の個人情報が含まれていたことが発見された。6月10日、問題のファイルを復元してみると、約793万人の個人情報が漏洩した可能性が確認された。そして6月14日、JTB社は、顧客の個人情報漏洩の可能性をメディアに公表した。事故が発生後、状況分析までかかった時間がとても長いとは思うが、とにかく隠蔽せずに公表したことはほめられるものである。

事故発生後、論争の空しさ

JTBの発表後、とても騒々しくなった。実質上日本は深刻な情報セキュリティの死角地帯と言っても過言ではない。他の先進国に比べ情報セキュリティ関連の法律は、極端に言うと、あまりにも不十分である。「平和ボケしているからね」と日本のお客様からよく聞く。今回のような大規模の情報漏洩事件が発生すると、その原因の分析やセキュリティ対策のお粗末さを非難するに走り、その論争で盛り上がる。

その一部だが、次のようなことが議論されているようだ。

-勤務者のセキュリティ意識が希薄
-情報セキュリティの責任者が不在で、セキュリティポリシーが甘い
-データベースに対するセキュリティ対策が不十分
-データ暗号化をしていない

これは、セキュリティ関連問題で常に議論される話である。すべて正しい。もう情報漏洩されてしまってからには、議論することすら空しさを感じてしまうが、ここからどのような実質的対策を見出していくのかは、勉強にあるのである。

「勤務者のセキュリティ意識の希薄」だが、もちろん、最も言いやすい原因ではあるが、セキュリティ意識が高くても、事故は起こる(その確率を下げることはできるが)。そして、現実問題として大企業では情報セキュリティの専門部隊と責任者を別途設置し運用することができるかもしれないが、すべての企業ができるわけではないのだ。

オペレーターの250人が1日に処理しているメールは何通あるのだろうか。「不明な送信先からのメールは開けない」といった社内ルールがあったとしても既存のお客様を装ったメールであれば、通常の業務として処理をする。JTBも「問題のメールを処理した人の過ちとは思えない」と話す。これは責任回避ではなく、事実がそうであり、セキュリティ意識が希薄とは違う気がする。

JTBの発表内容からセキュリティ対策自体が「不十分だった」とは言い難い。通常の対策は行っていた。事故当時も問題になった「実績データベース」に関するセキュリティ対策の甘さはあったものの、普通にセキュリティ措置を行っていたとみられる。実績データベースのデータを暗号化していなかったことは痛いポイントだが、データ暗号化を実施していない会社は、結構あるものだ。マイナンバー制度の施行後この半年、個人情報を保管している企業でどれほど、暗号化を実施しているだろうか?今回の事故は、個人情報を持っている企業ならどこにでも起こり得ることであり、JTBの肩を持つわけではないが、「運が悪かった」とも言えるだろう。事故後はもう遅いが、今後の対策はより具体的かつ、現実的でなければならない。

内部ネットワーク侵入は、実はいとも簡単に起きる

言うまでもなく今回の問題は、極端にいえばデータを暗号化しなかったことに尽きる。しかし、データ暗号化さえすれば今回の問題は起こらなかったことを言っているわけではない。

まず、内部ネットワークへの侵入が問題となるが、ありとあらゆる方法で簡単に内部ネットワークに侵入できるようになってしまっている。情報漏洩事故はいつ、どこでも起こり得るのだ。打つ手がないように思ってしまうかもしれないが、セキュリティ対策は、事故発生の確率を減らすための日々の努力と理解して頂きたい。

■「内部ネットワーク侵入は、必ず起こる」

悪意のある者は忍者のように忍び込んでくるため、知らないうちに攻撃される。しかも攻撃されたのかも認識できずにいるケースも多々ある。ここで、セキュリティ対策として、暗号化の出番になる。

名前や性別、生年月日、メールアドレス、住所、電話番号、パスポート番号、パスポート取得日などが含まれた、793万人分の個人情報がこっそり抜かれたしまった今回の漏洩事故では、データ暗号化を実施しておいたならば、最悪の結果にまでは至らなかったのではと、私は思う。

しかし、ハッカーがルート(Root)の権限をどうやって奪取できたかは現段階では不明とのこと。この点も極めて重要だ。DBAにスーパーAdminの権限を持たしているのであれば、ゲームオーバーである。したがって、暗号化、そしてDBAとセキュリティ管理者の権限分離は同時に考慮すべきものである。もちろん暗号化に適切な鍵管理は必須である。

情報社会、その利便性とリスク

JTBは、「これから専務取締役をトップとするITのセキュリティの専任統括部門を設置し、グループ全体のITセキュリティの更なる向上に努める」とした。本件の発生経緯と事故後の対応から一応は、応援したくなる気持ちでいるが、JTBの企業イメージはガタ落ちし、失った顧客の信頼を回復するまでは、かなりの時間はかかるだろう。

今年は、国民背番号制度、マイナンバーの元年でもある。マイナンバーの利用領域は、制限された部門となっているが、今後ありとあらゆるサービスと連携することで、無数の個人情報と紐づいていくことになる。これは、マイナンバー制度施行の目的でもある社会構造改善による利便性につながるが、その分のリスクも同時に抱え込むことになるのだ。個人情報漏洩を懸念していた、まさしくこの時期に起こった今回の大規模の漏洩事件である故に、その余波は大きいのだ。被害後の痛手が大きい分、予防接種だと考え、これからの情報セキュリティについて、社会全体で真剣に考える良いチャンスではないだろうか。


※ 本コラムの著作権は、データベース暗号化・Webセキュリティ専門企業「 ペンタセキュリティシステムズ(http://www.pentasecurity.co.jp)」にあります。

※ ペンタセキュリティのデータベース暗号化ソリューションはこちらから確認できます。
http://www.pentasecurity.co.jp/wp/?page_id=3833

※ ペンタセキュリティのWAF製品はこちらから確認できます。
http://www.pentasecurity.co.jp/wp/?page_id=1362

会員限定で「読者からのコメント」が読み書きできます! 「読者からのコメント」は会員限定の機能。会員登録を行い、ログインすると読者からのコメントが読み書きできるようになります。

会員登録(無料)・ログイン

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この寄稿記事に掲載している情報は、掲載日時点での情報となります。内容は変更となる場合がございますのでご了承下さい。また、「Key Conductors」の寄稿記事及び当該記事に寄せられたコメントについては、執筆者及びコメント投稿者の責任のもと掲載されているものであり、当社が、内容の最新性、真実性、合法性、安全性、適切性、有用性等を保証するものではありません。


30009076


IT・IT製品TOP > Key Conductors > 金 ドクス(ペンタセキュリティシステム株式会社) > JTBの個人情報漏洩事故の経緯と、暗号化の必要性

このページの先頭へ

キーマンズネットとは
1999年ペンタセキュリティシステムズに入社し、17年間データ暗号化ソリューション、Webアプリケーションファイアウォールなどの製品に手掛け、セキュリティ技術研究所の所長を歴任。2011年CTOに主任後、2012年から新技術・新製品を企画する企画室の室長を兼任

ページトップへ