UTMセキュリティーブログ

JTB個人情報679万件流出事件

JTB個人情報流出事件用画像

JTBはサーバーに不正アクセスをがあり、個人情報が漏れた実人数は679万人分(初期の報道では延べ人数約793万人)だったと公表しました。
JTBの影響で「るるぶトラベル」のオンライン予約サービスなどを使った人、「dトラベル」(NTTドコモ)、「Yahoo!トラベル」「DeNAトラベル」など提携先を使った人も対象。
流出したおそれのある個人情報は、氏名、性別、生年月日、メールアドレス、住所、郵便番号、電話番号、パスポート番号(約4300件)が含まれていました。

何故、個人情報が流出してしまったのか

原因は、「航空券控 添付のご連絡」という件名で取引先(ANA)を偽装して届いたメールに添付されていた「E-TKT控え」という名称のPDFファイルアイコン偽装の圧縮ファイルに
マルウェアをi.JTBのオペレーターが誤って実行してしまったためです。
メール内に書かれていた送信担当者は実在しないものの、本文には「eチケットを送付しますのでご確認ください」「お客様の旅行内容を確認したい」といった内容であり
文面だけでは不自然では無く普通には気づかないようなメールだったようです。
外部の不正アクセス対策訓練も社内で行っていたらしいのですが…。

感染公表までの時系列

感染公表までの時系列(2016年6月14日に公表)
3月15日 マルウェアに感染
3月19日 セキュリティ会社(外部通信の遠隔監視を委託)より不審な通信の発生を確認したとの連絡を受け調査
3月20日 不審な通信先の遮断措置を開始
3月21日 不審なアクセスによりi.JTBのサーバー内にデータファイルを作成、その後削除
3月25日 不審な通信先の遮断措置を完了
5月13日 JTB情報システム、i.JTBがセキュリティ企業と協力して削除されたデータファイルを復元に成功
     顧客情報の入ったCSVファイルなどが含まれることを確認
5月17日 IT担当役員からJTB社長へ報告。事故対策本部を設置
5月30日 JTBが警視庁へ被害相談
5月31日 JTBが観光庁へ相談
6月10日 JTB解析後の漏れた詳細情報を把握

という流れになっています。

感染情報

感染したパソコンは6台,サーバーは3台以上
マルウェアは「ELIRKS(エリークス)」と「PlugX(プラグエックス)」の2種類のウイルスに感染させるものでした。
ELIRKS(エリークス):痕跡を残さず情報を取得
PlugX(プラグエックス):不正ファイル作成、感染したデータを外部に送信(こちらの方が有名です)

弊社のWALLIORシリーズでは
UTMの隔離機能でソフトからマルウェアを感知してくれます。

ページトップへ
営業時間 平日 9時~19時03-6738-283803-6738-2838