読者です 読者をやめる 読者になる 読者になる

文系男子が日和るIT開発~IT知識なしで飛び込んだIT企業

文系男子だからIT企業に就職するなんて考えてもみませんでしたが、日和ながら日々くらいついています。

JTB顧客情報流出させた標的型攻撃の対策~ほんとにそれで防げるの?

セキュリティ

2016年6月、JTBから個人情報793万人分が流出した可能性がある、とニュースになった。

JTBとは、、

www.jtb.co.jp

 

JTBから流出した個人情報

  • 氏名
  • 生年月日
  • メールアドレス
  • 住所
  • 電話番号
  • パスポート番号

 

幸いなことに

 

クレジットカード番号、銀行口座情報、旅行の予約内容は含まれていないとのこと。

ちなみに、JTBを直接的に利用していなくとも、
JTBホームページ」「るるぶトラベル」「JAPANiCAN」のオンラインでご予約されたお客様、またはJTBグループ内外のオンライン販売提携先(提携サイト)でJTB商品をご予約されたお客様の情報も、漏えいしている可能性があります。

詳細は、

不正アクセスによる個人情報流出の可能性について

をご参照ください。

 

なぜ個人情報が流出した?

原因は「標的型攻撃メール」によるものだ。

 

標的型攻撃メールとは・・・ 

標的型攻撃への対策|社員・職員全般の情報セキュリティ対策|企業・組織の対策|国民のための情報セキュリティサイト

 

JTBの担当者が受信した標的型メールは、 
取引先の航空会社系列企業からのメールで、
メールの件名は『航空券控え 添付のご連絡』と書かれていたようだ。
本文には、業務上やりとりするメールで使用する挨拶文『お世話になっております』なども書かれていたようで、

内容は、『eチケットを送付しますのでご確認下さい』という趣旨の文章があり、

送信元の署名もあり、その署名も実在する取引先の会社名・部署と担当者名のものだったというから、
一見してメールの真偽は判断しづらかっただろう。

ただ、 送信元のメールアドレスについては、
ドメイン部分は、実在する取引先企業のものであったというが、
『@』より前は「よくある日本人の名前になっていた」と言っているだけであって、
署名の担当者が実際に利用されている担当者のメルアドと、
メールのアドレスはおそらく不一致だったのではないかと推測しており、
ここが一つのポイントとなるだろう。

とはいえ、実際にウィルスに感染させたのは、添付ファイルだ。
なので、この添付ファイルさえ開かなければ、大事にならずに済んだはずだが、
しっかり 開封の儀 を行ってしまったようだ。。。

 

今回、添付されて送信されてきたファイルはPDF。

ファイル名は『E-TKT控え』となっており、実業務で社内での使用実績が多いファイル名だったという。

これは怖い。

自分も、関連の他部門からの基本設計書のレビュー依頼等の内容で、プロジェクトに参画している担当者などから、ファイルが添付されたメールを受信するケースがある。

件名、署名、メール文面はざっとは確かめるが、レビュー日まで間があれば、事前確認しておく時間があれば当然ファイルを開くだろう。

それで、もうアウトなわけだ。 

功名すぎる。
 

 

対策とは?

一般企業でも個人情報を取り扱う会社であれば、何度もセキュリティ事故に気を付けるような研修を受講したり、注意喚起をされたりしていることだろう。

 

  • 取り分け標的型メールでの対策は、
  • 怪しいメールは開くな。
  • 知らない相手からのメールに添付されたファイルは開くな。
  • 送信者に確認しろ。
  • 突拍子もない連絡やお願いメールや、脈絡のないメールは開くな。

 

と教わってきたことだろう。

本当にそれで防げるか?

お願いや相談メールなどは、特に知らない担当者から、突然やってくることが多く、疑いだしたらキリがない。
ましては、送信者に確認をとることなんて、非効率だったり、取引先との上下関係でやりたくでできないケースも多くあるだろう。

であれば、メール送信よりも強固な要塞を構築しやすいファイルサーバを設け、ファイル授受はそのサーバで行うようなことも検討できる。

要は、標的型メールによる個人情報関連の事故を防止するには、メールで添付ファイルの授受を一切しないことなのだ。

メールは送信者が成り済ませる可能性のあり、傍受も可能だったりするので、結局は危ない手段の一つであるが、専用線でLAN/WANを構築し、アクセス権限を最小のユーザ数で絞り込みが行えれば、そのほうがもちろん安全度は高い。
クライアント認証の仕組みを設けてもよい。

「メールによる添付ファイルのやり取りをなくす」

この対策をあまり推奨しているところがないが、実際に導入することで、費用や取引先との関係構築以外に、問題はあるのだろうか?

 

ちなみに、私の会社であれば、突然舞い込んでくるような依頼メールであれば、メールを受けた頃に、電話や口頭で、

「先ほど、メールさせて頂いた○○と申します。その件について直接ご説明したほうが良いかと思い、・・・・」

というように、直接メールの内容についての補足説明をしてくださるケースが多く、非常に安心して添付ファイルを開くことができる。

突然のメールに対してはそんなフォローがあってもよい。

 

そういうコミュニケーションこそが、ローリスクローコストの根源かもしれないですよね。

 

標的型攻撃セキュリティガイド

標的型攻撃セキュリティガイド