(cache) JTBへの不正アクセスについてまとめてみた

2016年6月14日、JTBは同社のサーバーが不正アクセスを受け、顧客情報が漏えいした可能性があると発表しました。ここでは関連情報をまとめます。

公式発表

今回の不正アクセスによる影響はJTB他、同社の提携サービスを展開している他社にも波及している。

JTBグループ

JTB提携先

NTTドコモ

2016年6月14日,16日提携先のJTB社のグループ会社サーバーへの不正アクセスに伴う「dトラベル」の個人情報流出の可能性について (魚拓) (6/16更新魚拓)

Yahoo!Japan

2016年6月14日 JTBの「個人情報流出の可能性」に関する発表について

DeNAトラベル

2016年6月14日 (auトラベル by DeNAトラベル) 株式会社i.JTBへの不正アクセスによる個人情報流出の可能性に関するお知らせ
2016年6月14日株式会社i.JTBへの不正アクセスによる個人情報流出の可能性に関するお知らせ (魚拓)

観光庁

旅行業界情報流出事案検討会関連

情報共有会議関連

インシデント タイムライン

JTBグループ関連 (事案発生～JTB本社把握まで)

日時	主なアクター	出来事
2016年3月15日	i.JTB 攻撃者	取引先を偽装したメールが届き、i.JTBの端末がマルウェアに感染。
2016年3月18日	i.JTB	i.JTBの端末で起動不可の事象発生。当該端末をネットワークから分離。
2016年3月19日～24日	攻撃者?	i.JTBの商品情報配信制御サーバーより不審な通信の発生を複数確認。
2016年3月19日	システム監視会社 (セキュリティ会社A)	JTB情報システムへWebサーバー上で不審な通信を確認したと通知。
同日	JTB情報システムズ	Webサーバーをネットワークから分離し、ウィルススキャンを実施。
2016年3月20日	JTB情報システムズ	ウィルススキャンの結果、Webサーバーからは異常は検出されず。
同日	JTB情報システムズ	i.JTBへスキャン結果を報告。
同日	i.JTB	不審な通信先1つの遮断措置を開始。*1
2016年3月21日	攻撃者?	i.JTBのサーバー内にデータファイルを作成。
同日	攻撃者?	サーバー内に作成されたデータファイルを削除。
同日	i.JTB	商品情報データベースサーバー上でディスク容量不足を検知。
同日	i.JTB	拡張子が無い比較的容量の大きなファイルを確認。業務上不要と判断して削除。その後容量不足は解消。
2016年3月24日	セキュリティ会社A i.JTB JTB情報システムズ	通信経路を確認し、さらに2つの通信先を遮断。
2016年 3月25日	JTB情報システムズ	さらに1件の通信先を遮断。(不審な通信先の遮断措置を完了。) *2
同日	JTB情報システムズ	i.JTBの端末5台が不正な通信に失敗していることを確認。
同日	i.JTB セキュリティ会社B	2社で連携し調査を開始。
2016年3月28日	セキュリティ会社B	端末、サーバーがマルウェアに感染していたことを特定。
同日	セキュリティ会社B JTB IT部門 i.JTB JTB情報システムズ	情報共有ミーティングを開催。
2016年3月29日	セキュリティ会社B	商品情報データベースサーバーを解析。3つのCSVファイルが作成され、その後削除された痕跡を確認。
同日	セキュリティ会社B	削除されたCSVファイルの復元に着手。
2016年3月31日	i.JTB	復元されたCSVファイルの一部の内容を確認。
同日	i.JTB	セキュリティ会社Bへ商品情報データベースサーバーに存在しないデータを確認したと連絡。
2016年4月1日	セキュリティ会社B	不審な通信の発生原因やCSVファイルの作成経緯、およびその内容に個人情報関連が想定されるデータが含む可能性があることをi.JTB、JTB IT部門、JTB情報システムズへ報告。
同日	JTB情報システム	グループ全社向けCSIRTを立ち上げ。
2016年4月13日	JTB IT部門 i.JTB JTB情報システムズセキュリティ会社B	CSVファイルの元データは実績サーバーのデータである可能性が高いと確認。
2016年4月22日	セキュリティ会社B	3月15日にi.JTBの添付ファイル開封により端末が感染したとJTB IT部門、i.JTB、JTB情報システムズへ報告。
2016年5月13日	セキュリティ会社B	この日までに把握した事実をJTB IT部門、i.JTB、JTB情報システムズに総括。個人情報漏えいの可能性の認識をすべきと説明。
2016年5月16日	JTB IT部門	JTB IT担当役員と内部統制担当部門へ報告。*3

JTBグループ関連 (JTB本社把握～発表まで)

日時	主なアクター	出来事
2016年5月16日	JTB	ここから初めて対応を開始。
2016年5月17日	セキュリティ会社B	容量の大きいファイルを除く、複数のCSVファイルをi.JTBへ送付。
同日	i.JTB	対象者特定のためCSVファイルの正規化作業に着手。
同日	JTB IT担当役員	JTB社長へ報告。
同日	JTB	JTB社長を本部長とする事故対策本部を設置。公表方針を決定。
2016年5月23日	JTB	同社社員に対し、類似事象の注意喚起。
2016年5月30日	JTB	警視庁(品川警察署)へ被害相談。*4
同日	i.JTB	サーバーの遠隔操作を禁止する設定を実施。(6月2日に作業完了。)
2016年5月31日	JTB	観光庁へ事案に関する相談。*5
同日	i.JTB	実績サーバーより個人情報削除に着手。(6月21日に作業完了)
2016年6月2日	i.JTB	NTTドコモへ個人情報漏えいの可能性があると報告。
同日	JTB	警視庁のサイバー犯罪専門部署へ相談。
同日	i.JTB	個人情報を格納するサーバーのアクセス制限作業に着手。(6月21日に作業完了)
2016年6月8日	i.JTB	業務用端末の管理共有設定を停止する作業に着手。(6月21日に作業完了)
2016年6月9日	i.JTB	業務用端末のインターネット閲覧を禁止する作業に着手。(6月10日に作業完了)
2016年6月10日	JTB	事故対策本部の調査により、漏えいの可能性がある詳細状況(約793万件)を把握。
同日	JTB	NTTドコモへ調査結果を報告。
2016年6月13日	JTB	観光庁へ個人情報漏えいの可能性に関する詳細報告。
2016年6月14日 17時	JTB	不正アクセスによる顧客情報漏えいの可能性について発表。
同日	JTB	マルウェアを駆除できるようウィルス対策ソフトの定義ファイル更新作業に着手。(6月20日に完了。)
2016年 6月15日	JTB	新しい定義ファイルでグループ各社の業務端末、サーバーをフルスキャンする作業に着手。(6月17日に作業完了)
同日まで	警視庁	当該事案について捜査に着手したと報道。

JTBグループ関連 (事案発表後)

日時	主なアクター	出来事
2016年 6月15日	観光庁	JTBに対し、6月24日までに個人情報保護法に基づく報告を指示したと発表。(指示は14日)
2016年6月16日	JTB	漏えいの可能性のある利用者へ連絡内容に関する案内を掲載。連絡も開始。(6月23日時点で595万通を送付)
2016年 6月17日	国土交通省	JTB事案を受けて有識者委員会を設置することを発表。
2016年6月20日	i.JTB	CSVファイルの正規化作業完了。グループ各社で一斉踏査に着手。(6月24日に作業完了)
2016年6月21日	観光庁	旅行業界情報流出事案検討会を設置することを発表。
2016年 6月24日	JTB	観光庁へ指示に基づき経緯、再発防止策をまとめた報告書を提出。
同日	JTB	記者会見を開き、調査委員会の設置、及び対象件数等複数事項の修正について発表。
2016年6月25日	観光庁	JTBの「九州ふっこう割」の販売を当面認めない方針と報道。*6
2016年6月28日	観光庁	第1回の情報共有会議を開催。*7
2016年 7月1日	JTB	専務をCISOに任命。ITセキュリティ専任統括部門を設置。
2016年7月8日	観光庁	第1回の旅行業界情報流出事案検討会を開催。
2016年 7月22日	観光庁	第2回の旅行業界情報流出事案検討会を開催。
2016年7月28日	観光庁	第2回の情報共有会議を開催。*8

|2016年9月16日|観光庁|第3回の旅行業界情報流出事案検討会を開催。*9

提携先関連

日時	主なアクター	出来事
2016年6月14日	NTTドコモ	JTB提携サービス(dトラベル)で顧客情報漏えいの可能性があると発表。
同日	Yahoo!Japan	JTB提携サービス(Yahoo!トラベル)で顧客情報漏えいの可能性があると発表。
同日	DeNAトラベル	JTB提携サービス(同社、およびauトラベル)で顧客情報漏えいの可能性があると発表。
2016年6月16日	NTTドコモ	株主総会にて謝罪と対策の強化を発表。*10

被害状況

不正アクセスを受けた組織

i.JTB(アイドットジェイティービー)

JTBグループのインターネット販売を担当するJTBグループ会社。
http://www.jtbcorp.jp/jp/jtb_group/ijtb/

漏えいした可能性のある件数と対象期間

対象サービスにおいて、次の期間に予約していた場合漏えいした可能性がある。

対象組織	漏えい可能性の件数	対象期間
JTB	~~約793万件(提携分含む)~~ ⇒6/24重複分が判明対象人数は678万8334人*11	2007年9月28日～ 2016年3月21日 12 13
NTTドコモ	約33万件	2014年 2月27日～ 2016年3月21日
Yahoo!トラベル	発表内容に含まれておらず不明	発表内容に含まれておらず不明
DeNAトラベル	6,562件	発表内容に含まれておらず不明
auトラベル by DeNAトラベル	4,462件	発表内容に含まれておらず不明

販売促進メール等を送る870万人分データ(実績データベース)の一部*14。9割以上が漏えいした可能性がある。*15
JTB内外のオンライン販売提携先でJTB商品を予約した利用者は約50万件が対象。
パスポート番号は9154件が含まれる。2016年6月14日時点で有効なパスポート情報は4359件。*16
訪日外国人の情報も最大約70万人分が含まれる。*17
JTBは悪用の事実は確認していない。

漏えいした可能性のある顧客情報の項目

次の情報の一部、または全部が漏えいした可能性がある。

氏名(漢字、カタカナ、ローマ字)
性別
生年月日
メールアドレス
住所
郵便番号
電話番号
パスポート番号
パスポート取得日

次の情報にはパスポート関係の情報は含まれていない。

JTB 訪日外国人利用者
NTTドコモ dトラベル利用者

次の情報は対象に含まれていない。

クレジットカード番号
銀行口座情報
旅行の予約内容

パスポート番号漏えいに関する見解、考察

担当者は「番号や取得日が流出していても、パスポートの冊子じたいを手元にお持ちであれば、過剰な心配には及ばない」と話し、番号が漏れてしまった人も、再発行手続きなどは「不要だと考えている」という。外務省としても、今回の問題に伴う特別な対応などは「考えていない」という。
http://www.itmedia.co.jp/news/articles/1606/15/news102.html

本事案の対象サービス・提携先

対象	対象サービス
JTB	次のWebサイトで予約を行った利用者・JTBホームページ・るるぶトラベル・JAPANiCAN オンライン予約後に店舗清算をした場合も対象
NTTドコモ	dトラベル
Yahoo!Japan	Yahoo!トラベル
DeNA	auトラベル by DeANAトラベル国内宿サービス利用時 DeNAトラベル国内宿サービス利用時 (いずれも漏えいの可能性があるのは一部)

提携サービスは明らかになっているものを記載。

次に該当する商品を予約していたユーザーは対象外である。

JTB旅物語
高速バス
現地観光プラン、レジャーチケット、定期観光バス
レストラン
海外ダイナミックパッケージ
海外航空券
海外ホテル
海外現地オプショナルツアー
その他旅行関連商品（保険、積立等）

次の店舗等で予約をした利用者は対象外である。

JTB店舗
提携販売店店舗
JTB旅物語販売センター

第三者が作成したデータファイルに関連する情報

個人情報はCSVファイルに格納されていた。
復元されたデータは一部が欠損。氏名や生年月日がランダムに配置されており正規化をしなければ対象者を特定できない状態であった。

不正アクセス発表後に報告された不審メールに関する情報

ユーザーより見知らぬメールを受信したとする報告が約100件程度ある。*18
届いたメールはメールマガジン等が含まれている。

JTBへの不正アクセスに関連する情報

個人情報を含むデータファイルは外部に送出した通信ログを確認できておらず、漏えいした可能性という表現とした。*19ただし何者かの情報閲覧の可能性は否定していない。
プロキシログ、通信の出口のログ(FW?)は基本的に取得されていたが、一部の通信ログは取得されていなかった。*20
特定の通信経路で異常通信のログは取得していたが、正常な通信ログは取得していなかった。
ログ取得の不備が一部あったことについて意図的なものではないとJTBは取材に回答している。

感染が確認されたマルウェアに関連する情報

i.JTBのマルウェアの感染状況は次の通り。

対象	台数	概要
PC	６台	i.JTBオペレーター端末
サーバー	２台 ⇒6/24修正台数明らかにせず(3台以上?) *21	Webサーバー商品情報社内配信用の制御サーバー

最初に感染したPCから他のサーバー、PCへ感染が広まった。*22
マルウェア感染は2016年3月15日時点では把握できていなかった。*23
マルウェアは新種であり、セキュリティ対策会社が対応していなかった。
実績データベースへのアクセス権限は一人のみ所有しているが、その管理者のPCは乗っ取られていなかった。
実績データベースのデータを使用するBIツールは25人がアクセス可能。ただし、事案との関連性は薄いとJTBは判断。
実績データベースになぜアクセスできたかは明らかにされていない。
ADサーバーはのっとられていなかった。
i.JTBが保管していた個人情報(実績データベース)は暗号化されていなかった。*24

本事案で確認されたとして、報じられているマルウェアは次の2種類。*25

ELIRKS
Korplug (PlugXとも呼称)

発端

2016年3月19日に外部通信の遠隔監視を委託しているセキュリティ会社より不審な通信の発生を確認したとの連絡を受けたことによる。

不審な通信先を発見した経緯

通信先はセキュリティ会社のブラックリストに該当したものではない。
パケットデータを解析した結果、通信先が不審なものであると判断した。
通信先は複数存在し、順次接続を遮断(ブラックリストへ登録)していた。

全遮断の措置をとらなかった理由

通信の発生起因が標的型攻撃によるものとの認識がなかった。
事案の大きさに関する認識も不十分であった。
技術的、および業務的には全遮断は2016年3月20日時点で実施することは可能であった。

発表が遅れた理由

対象者の特定が不十分な状態では利用者に不安と混乱を招くことを懸念し、特定できた段階で公表する方針とした。*26
方針決定は事故対策本部が行ったもの。

原因

取引先を偽装して届いたメールに添付されていたマルウェアをi.JTBのオペレーターが誤って実行してしまったことによる。
担当オペレーターは20代女性社員。
JTBは開封してしまった担当オペレーターを責めておらず、一方で社内のルールの見直しも検討する必要があると会見にてコメント。

i.JTBへ届いたメールの詳細

JTBはi.JTBへ届いたメールは標的型攻撃メールであると発表。
実際の取引先の航空会社(サプライヤー)を偽装したメールであった。
担当者は問い合わせを行った利用者を確認できないとして、メールで返信をしていた。*27
オペレーターが返信したメールは不達であったが、オペレーターはこれに気が付いていなかった。

宛先	問い合わせ受付用代表メールアドレス。
実送信元	海外のレンタルサーバーから送信された可能性。
FROMアドレス	実送信元ではなくメールソフトに表示される個所。全日空系列会社のドメイン、「ana」の文字が含まれる。*28 日本人のありふれた苗字がアルファベットで表記
件名	「航空券控え添付のご連絡」
添付ファイル	圧縮ファイルが添付されていた。「E-TKT控え」という名称のPDFファイルが含まれていた。29 EXE形式の実行ファイルをフォルダアイコンで偽装していた30 このファイルを実行するとPDFファイルが表示される。 eチケットを「E-TKT」といったファイル名とするのは社内でも使われる表記。
本文	次の内容が本文に書かれていたと報じられている。・挨拶の定型文「お世話になっております」が記載されていた。・「eチケットを送付しますのでご確認ください」「お客様の旅行内容を確認したい」といった内容であり不自然な文面ではない。・実在する取引先の会社名、部署名、担当者名(担当者は実在しない模様)の署名が記載されていた

本文なし、添付ファイル名は「北京行きのEチケット」(PDFファイル)であったとの報道もある。*31 これは会見を受けてのものと思われるが、後日ITproの取材にてJTB広報室が本文は存在したと訂正している。

JTBの対策・対応

対応が完了した対策・対応

外部への不審な通信の遮断(特定分)
感染範囲の特定、およびマルウェアの駆除
個人情報のアクセス制御の強化

継続して対応中の対策

継続的な情報収集を行い、新事実を確認した場合は利用者へ連絡する。

対応予定の対策

2016年6月14日、及び24日時点で対応予定の対策は次の通り。

14日発表の対策

社内に社長直轄のITセキュリティ専任統括部門を設置し、ITセキュリティ専門会社と連携
ITセキュリティ教育について実践的な演習によりサイバー攻撃の察知力を向上
社内調査を実施したのち、経営幹部への処分も検討

24日発表の対策*32

外部の調査委員会の設置
最高情報セキュリティ責任者(専務が任命予定)の設置

疑似メール訓練を行っていた

2年前より定期的(1か月に2回)に疑似的な攻撃メールを送る訓練を行っていた。*33

警察への被害相談

警視庁が対応。
相談は行っているが通信先が海外であること、そして漏えいしたと断定に至る情報が確認できておらず被害届は提出していない。*34

対象利用者への対応

当該サービスに登録しているメールアドレス宛に連絡
2016年 6月24日午前までに一部法人をのぞきメールを送信。
送信したメールの内、約2割と連絡が取れず。(連絡不能者への対応内容は不明)
特設窓口を設置。

連絡は次のアドレスより行われる。(いずれも送信専用)

JTB ホームページから予約した利用者：jtb@jtb.co.jp
るるぶトラベルから予約した利用者：rurubutravel@rurubu.travel

JTB 特設問い合わせ窓口

【お客様特設窓口】

　　　専用フリーダイヤル：0120－589－272

　　　　　　　　　　受付時間：09：00～20：30（土・日・祝含む）

Yahoo!トラベルで案内されている窓口もJTBのこの窓口となる。

NTTドコモ特設問い合わせ窓口

【dトラベルお客様特設窓口】

フリーダイヤル： 0120-569-222

受付時間：午前9時～午後8時30分（土曜・日曜・祝日含む）

DeNAトラベル問い合わせ窓口

【お客様ご連絡窓口】

電話番号： 03-6866-5978

受付時間：10:00 ~ 18:00 （平日のみ）

JTBからの連絡メール

パスポート情報が漏れた可能性のない利用者への連絡メールは次の通り。

件名：【重要なお知らせ】「不正アクセスによる個人情報流出の可能性について」
以下本文

※本メールは、個人情報が流出した可能性がある方に送信しております。

すでに、お客様特設窓口(フリーダイヤル)にお問い合わせいただいた方には、

重ねてのご案内になりますがお許しください。

　

お客様各位

　

このたび、弊社のインターネット販売を主とするグループ会社である

株式会社i.JTB(アイドットジェイティービ－)のサーバーに、

外部からの不正アクセスがありました。

お客様にはご迷惑、ご心配をおかけすることになりましたことを

深くお詫び申し上げます。

調査委の結果、本メールを受信したお客様の個人情報が一部流出した可能性が

あることが判明いたしましたので、ご登録のメールアドレスに

ご連絡を差し上げております。

なお、お客様の情報には、現在有効なパスポート番号・取得日の情報は

含まれていないことを確認できております。

含まれていた個人情報は、オンライン予約の際に入力された

以下の(1)～(7)の一部または全部の情報となります。

(1)氏名

(2)性別

(3)生年月日

(4)(本メールを受信された)メールアドレス

(5)住所

(6)郵便番号

(7)電話番号

　

なお、クレジットカード番号、銀行口座情報、ご旅行の予約内容は

含まれておりません。

また、現在のところ、個人情報を悪用されたことによる被害の報告は、

入っておりません。

　

経緯等詳細につきましては、

JTBグループサイト『感動のそばにいつも』トップページより

「不正アクセスによる個人情報流出の可能性について」をご参照ください。

※安全のため、本メールからURLへのアクセスを求めることを

差し控えさせていただいております。

ご不便をおかけしますが、検索によりアクセスをお願いいたします。

　

お客様にお願いではございますが、弊社が本案件の確認を理由に、電話・郵便・

メール等で、クレジットカード番号・銀行口座情報・暗証番号・ＩＤ/パスワード・

マイナンバー等をうかがうことは絶対にございません。

弊社を名乗った詐欺等にはくれぐれもご注意いただきますよう

お願い申し上げます。

　

また、万が一、身に覚えのない連絡があった場合や、

個人情報を不正に利用された事実があった場合は、

下記、お客様特設窓口までご連絡を賜りますようお願い申し上げます。

　

＊本メールは送信専用のため、ご返信いただけません。

========================================================================

【お客様特設窓口】

専用フリーダイヤル：0120-589-272

受付時間：9:00～20:30（土日･祝日も受け付けております）

　

株式会社ジェイティービー

観光庁長官登録旅行業第64号

〒140-8602 東京都品川区東品川2丁目3番11号