旅行会社JTBは2016年6月14日、インターネットにて旅行商品を販売する子会社のi.JTBが標的型攻撃メールに襲われ、約793万人分の個人情報が流出した可能性があると公表しました。
情報流出した可能性があるのは、『JTBホームページ』『るるぶトラベル』『JAPANiCAN』のサイトもしくは販売提携先のサイトを利用し、2007年9月28日から2016年3月21日までの間にオンライン予約をした顧客の個人情報。
この中には、NTTドコモが提供している『dトラベル』を利用した約33万人分の個人情報も含まれている。
皆さん、こんにちは。
業務改善を行う業務コンサルタント、高橋です。
またもや標的型攻撃メールによる事件が起きました。
この標的型攻撃メールは大企業や公官庁だけが標的として攻撃されるわけではなく、標的となる組織と関係がある中小企業なども攻撃を受けた事例もありますので注意が必要です。
標的型攻撃メールとは
標的型攻撃メールとは、ターゲットである企業などから重要な情報を盗むことなどを目的として、企業の担当者が業務に関係するメールだと信じて開封してしまうように巧妙に作り込まれたコンピュータウイルスが添付された電子メールを送ることなどによって始まります。
また、その時だけではなく潜伏して持続的に行われるAPT攻撃と呼ばれるものもあります。
標的型攻撃メール対策
標的型攻撃メールには下記のような特徴があります。
・取材申込、セミナー依頼、公的機関、業務的、航空券の予約、荷物の配達などを装っている
・フリーメールアドレスから送信されたものや差出人のメールアドレスとメール本文の署名に記載されたメールアドレスが異なる
・メール本文の日本語の言い回しが不自然であったり日本語では使われない漢字が使われている
これらにファイルが添付されているといったことがあります。
(今回のJTBにおける事件もそうで、件名は『航空券控え添付のご連絡』という業務的なメールに添付されたファイルを開いてしまい感染したもので、取引のある航空会社系列の販売会社のドメインではあったもののユーザー名は知らない人であった。)
これらのことをよく理解し、社内において運用ルールを徹底する(教育も行う)必要があります。
つまり、標的型攻撃メールの手口を理解し、疑わしいメールが届いた場合には添付ファイルを開封したりリンクをクリックしたりは絶対にしないことが重要です。
また、標的型攻撃メールを発見した場合には速やかに情報を集約し、企業内で情報を共有することが重要です。
追伸:個人情報保護法の改正により5,000人要件は撤廃になっておりますのでご注意を。
また、今回のJTBにおける事件は、個人情報保護法第20条(安全管理措置)、同第21条(従業者の監督)に抵触している気もします。
