旅行最大手JTB、顧客パスポート情報流出で信用失墜…1カ月も発表遅れ、甘い安全対策

　このように標的型攻撃メールは、普段やり取りしているメールとそっくりなものが送られてくる。今回のJTBの流出では、旅行会社であることを承知の上で、犯人は航空券のファイルに偽装したものを「おとり」として使っている。

　この1年間で多数発生している標的型攻撃メールの被害でも、添付されたファイルはその会社の業務に合わせたものが多い。たとえばセミナーの案内、健康保険の文書、e-Taxの利用案内、収支決算書などのファイルがおとりに使われている。業務に合わせたものなので、開いてしまう可能性が高い。

　開いてしまったJTBの社員を責めることはできない。あまりに巧妙な偽装だからだ。問題があるとすれば、JTBのセキュリティ対策だろう。メールアドレスを偽装したなりますしメールを除外する仕組みがあれば、今回の被害は防げたと思われる。もしくは標的型攻撃メールを開いてしまっても、ウイルス感染を最小限に留める仕組みが必要になる。

代行している「dトラベル」「Yahoo！トラベル」も流出、JTB側の責任は重大

　今回の事故では、問題点が3つある。ひとつはJTBによるセキュリティ対策の甘さだ。

　ウイルス感染があって外部との不正な通信が確認され、犯人によって793万件の個人情報一覧ファイルがつくられていた痕跡が確認されている。当然ながら流出は起きているだろう。

　しかしながらJTB側の発表は「流出の可能性がある」として、可能性という表現に留まっている。理由は、通信ログが保存されていなかったからだ。JTBの会見では「犯人によるファイルの作成・削除は確認できたが、外部に送ったログを確認できない」とこと。通信のログが保存されていないのは、JTB側のセキュリティ対策の甘さといえそうだ（保存していなかったのか、犯人に削除されて復活できないかは不明）。

　2つめの問題は、提携企業の情報まで流出していることだ。流出を起こしたJTBのオンラインサービス子会社「i.JTB」では、他社のトラベルサービスを代行するかたちで運営している。793万件の流出にはこの提携先が含まれており、NTTドコモのdトラベルで33万人、ヤフーのYahoo！トラベルの「JTBコース」などでも人数は不明だが流出が起きている。

　提携企業から見れば、もっとも信頼できるはずの旅行最大手JTBを使っていて流出被害に遭っているわけで、予想外の被害といえるだろう。JTBは提携企業に対して、なんらかの損害賠償をする必要がありそうだ。