2016-06-14
JTBへの不正アクセスについてまとめてみた
インシデントまとめ | |
2016年6月14日、JTBは同社のサーバーが不正アクセスを受け、顧客情報が漏えいした可能性があると発表しました。ここでは関連情報をまとめます。
公式発表
今回の不正アクセスによる影響はJTB他、同社の提携サービスを展開している他社にも波及している。
JTB
- 2016年6月14日 不正アクセスによる個人情報流出の可能性について (魚拓不可)
- 2016年6月14日 Re: Occurrence of Unauthorized Access (魚拓)
NTTドコモ
Yahoo!Japan
インシデントタイムライン
| 日時 | 出来事 |
|---|---|
| 2016年3月15日 | 取引先を偽装したメールが届き、i.JTBの端末がマルウェアに感染。 |
| 2016年3月19日〜24日 | i.JTBのサーバーより不審な通信の発生を複数確認。 |
| 2016年3月19日 | システム監視会社よりJTBへ不審な通信を確認したと指摘。 |
| 2016年3月20日 | JTBが不審な通信先の遮断措置を開始。*1 |
| 2016年3月25日 | JTBが不審な通信先の遮断措置を完了。*2 |
| 2016年3月21日 | 何者かがi.JTBのサーバー内にデータファイルを作成。 |
| 2016年4月1日 | JTBが削除されたデータファイルの存在を把握。 |
| 2016年5月13日 | データファイルを復元し、顧客情報を記録したCSVファイルが含まれることを確認。 |
| 同日 | JTBが顧客情報流出の可能性があることを把握。事故対策本部を設置。 |
| 2016年5月30日 | JTBが警視庁へ被害相談。*3 |
| 2016年6月2日 | i.JTBよりNTTドコモへ個人情報流出の可能性があると報告。 |
| 2016年6月10日 | JTBよりNTTドコモへ調査結果が報告。 |
| 2016年6月14日 17時 | JTBが不正アクセスによる顧客情報漏えいの可能性について発表。 |
| 同日 | NTTドコモがJTB提携サービス(dトラベル)で顧客情報漏えいの可能性があると発表。 |
| 同日 | Yahoo!JapanがJTB提携サービス(Yahoo!トラベル)で顧客情報漏えいの可能性があると発表。 |
| 同日まで | 警視庁が当該事案について捜査に着手したと報道。 |
| 2016年7月1日 | JTBがITセキュリティ専任統括部門を設置予定。 |
被害状況
不正アクセスを受けた組織
漏えいした可能性のある件数
約793万件
- 全登録件数 870万人分の内、9割以上が漏えいした可能性がある。*4
- NTTドコモ「dトラベル」約33万件含まれる。
- パスポート番号は9154件が含まれる。2016年6月14日時点で有効なパスポート情報は4359件。*5
- 訪日外国人の情報も対象に含まれる。
- JTBは悪用の事実は確認していない。
漏えいした可能性のある顧客情報の項目
次の情報の一部、または全部が漏えいした可能性がある。
次の情報は対象に含まれていない。
本事案の対象サービス・提携先
| 対象 | 件数 |
|---|---|
| 次のWebサイトで予約を行った利用者 ・JTBホームページ ・るるぶトラベル ・JAPANiCAN オンライン予約後に店舗清算をした場合も対象 | 不明 |
| JTB内外のオンライン販売提携先でJTB商品を予約した利用者 | 約50万件 |
次に該当する商品を予約していたユーザーは対象外である。
- JTB旅物語
- 高速バス
- 現地観光プラン、レジャーチケット、定期観光バス
- レストラン
- 海外ダイナミックパッケージ
- 海外航空券
- 海外ホテル
- 海外現地オプショナルツアー
- その他旅行関連商品(保険、積立等)
次の店舗棟で予約をした利用者は対象外である。
対象予約期間
対象サービスにおいて、次の期間に予約していた場合漏えいしていた可能性がある。
| 対象組織 | 期間 |
|---|---|
| JTB | 2007年9月28日 〜 2016年3月21日 *6 *7 |
| NTTドコモ | 2014年2月27日 〜 2016年3月21日 |
第三者が作成したデータファイルに関連する情報
JTBへの不正アクセスに関連する情報
感染が確認されたマルウェアに関連する情報
感染状況は次の通り。
| 対象 | 台数 |
|---|---|
| PC | 6台 |
| サーバー | 2台 |
- 最初に感染したPCから他のサーバー、PCへ感染が広まった。*10
- マルウェア感染は2016年3月15日時点では把握できていなかった。*11
- マルウェアは新種であり、セキュリティ対策会社が対応していなかった。
- サーバーのアクセス権限は一人しかアクセス権限を所有していない。
発端
発表が遅れた理由
原因
i.JTBへ届いたメールの詳細
| 実送信元 | 詳細不明。海外のレンタルサーバー |
|---|---|
| FROMアドレス | 実在する航空会社系列会社のドメイン 日本人のありふれた苗字がアルファベットで表記 |
| 件名 | 「航空券控え 添付のご連絡」 |
| 添付ファイル | 「Eチケット控え」*14 |
| 本文 | 詳細不明。「お客様の旅行内容を確認したい」といった内容であり不自然な文面ではない。 |
JTBの対策・対応
対応が完了した対策・対応
継続して対応中の対策
- 継続的な情報収集を行い、新事実を確認した場合は利用者へ連絡する。
対応予定の対策
2016年6月14日時点で対応予定の対策は次の通り。
疑似メール訓練を行っていた
- 2年前より定期的に疑似的な攻撃メールを送る訓練を行っていた。*15
警察への被害相談
- 相談は行っているが漏えいしたと断定に至る情報が確認できておらず被害届は提出していない。*16
対象利用者への対応
- 当該サービスに登録しているメールアドレス宛に連絡
- 特設窓口の設置
JTB 特設問い合わせ窓口
【お客様特設窓口】
専用フリーダイヤル:0120−589−272
受付時間:09:00〜20:30(土・日・祝含む)
NTTドコモ 特設問い合わせ窓口
【dトラベルお客様特設窓口】
フリーダイヤル : 0120-569-222
受付時間 : 午前9時〜午後8時30分(土曜・日曜・祝日含む)
更新履歴
*1:JTB情報流出 遅れた外部接続遮断,毎日新聞,2016年6月15日アクセス
*2:また「標的型メール」…JTB「認識甘かった」,読売新聞,2016年6月15日アクセス
*3:不正アクセス容疑で捜査=JTB情報流出−警視庁,時事通信,2016年6月15日アクセス
*4:JTB 最大793万人分流出か 顧客情報 不正アクセス 提携運営の「dトラベル」でも,産経ニュース,2016年6月15日アクセス:魚拓
*5:最大793万人の個人情報流出=JTB子会社に不正アクセス,時事通信,2016年6月15日アクセス
*6:JTBから個人情報流出か…最大で793万人分,読売新聞,2016年6月15日アクセス
*7:JTB 個人情報793万人分流出か,日テレNEWS24,2016年6月15日アクセス:魚拓
*8:JTB、顧客情報793万人分流出か 取引先装うメール ドコモ顧客33万人分も含む,日本経済新聞社,2016年6月15日アクセス:魚拓
*9:「流出事実ないがお客様にお詫びする」、793万人の情報流出可能性でJTBの高橋社長が謝罪,ITpro,2016年6月14日アクセス:魚拓
*10:JTB、最大793万人分の情報流出か 不正アクセスで,朝日新聞,2016年6月15日アクセス
*11:JTB、外部侵入者が閲覧の可能性 「標的型メール」か ,2016年6月15日アクセス:魚拓
*12:JTB 不正アクセス、最大793万人分の情報流出か,毎日新聞,2016年6月15日アクセス
*13:情報流出…JTB、対応後手に 巧妙な標的型メール,産経ニュース,2016年6月15日アクセス:魚拓
*14:JTB、個人情報流出か、約793万人分−7月に対策部門新設,Travel vision,2016年6月15日アクセス:魚拓