Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

JTB海外グループ会社へのサイバー攻撃

つぶやいてみた。

ニュース記事を朝チェックしていてJTBの海外グループでのインシデント発表が気になりました。

www.itmedia.co.jp

JTBは8月18日、米JTB Americasなど海外のグループ会社3社が共同で使っていたサーバが不正アクセスを受け、日本からの旅行者の情報4921件が流出した可能性があると発表した。

 流出した可能性があるのは、2012年1月から20年6月にかけて、パッケージツアー「ルックJTB」で米国(ハワイを除く)やカナダに旅行した人の氏名2525人分(ローマ字表記)と、JTBの会員制サービス「RAKUなびサポート」に登録していたユーザーのメールアドレス2396件。氏名とメールアドレスは別々に保管していたため、それぞれのデータはひもづいていなかったとしている。

 

公式発表

当社海外グループ会社に対する不正アクセスについて

 

キタきつねの所感

インシデント発表の中で気になったのは、その軽微な被害というよりも、公式発表から透けて見えてくるセキュリティに対する考え方の部分です。

 

今回個人情報が漏えいした可能性があるのは4,921件との事で、(被害に遭われた可能性がある方には失礼な言い方となりますが)正直に言えば日本の旅行業のリーディングカンパニーであるJTBの規模から考えると「そう多く無い」印象です。

 

これは、公式発表にあるパッケージツアー参加者と、RAKUなびサポート(日本からの旅行出発前に現地情報の問い合わせを受けられるサービス)を登録していた方のみが、侵害を受けた海外サーバに保管(連携)されていた事も影響していたのかと想像します。

www.jtb.co.jp

 

漏えいした情報を見ると、氏名とメールアドレスのみが対象となっており、サービスに不要な部分まで関連部門に連携してしまう企業も多々ある中、限定的な情報のみが海外子会社に開示されていた事を示唆しています。

 

また、仕組みがどうなっているのかは分かりませんが、公式発表を見ると漏えいした情報は、ローマ字氏名と、メールアドレスが紐づけもされてない状態(紐づけキーはどうしていたのか気になる所ですが・・)だったと書かれていました。

(※1)「ローマ字氏名」と「メールアドレス」は別々に保管、管理しており、ふたつの情報が紐づいた状態にはなっておりませんでした

(公式発表より引用)

 

つまり、氏名情報と、メールアドレス情報がバラバラに漏えいしたという事かと思います。紐づけキーが無いとなると漏えいしたデータファイルを結合(マージ)する事が難しいかと思いますので、漏えいした個人情報は、例えばばらまきメールには使えたとしても高度なフィッシングには使えない状態なのかと思われます。

このデータ保持の基本的な考え方は、他の企業にも(実現が可能であればですが)参考になるのではないでしょうか。

JTBは2016年に679万人の個人情報漏えインシデントを公表以来、相当セキュリティ対策を強化した事もあり、今回はインシデント発表とはなっていますが、被害範囲が軽微(2次被害リスクが少ない状態で抑え込めた)だったのは、そうした対策が機能したからではないかと思います。

 

※細かく対策が書かれている訳ではありませんが、過去の日経XTEC記事に、当時発表された対策も書かれていますので、改めて読み返してみると他社の方でも気づきがあるかも知れません。

xtech.nikkei.com

 

余談です。

侵害を受けたサーバは、JTB Americas、JTB USA、JTB International(Canada)等、JTBの海外子会社3社が共通で使っていたものの様です。侵害を受けた原因部分については、調査中という事もあるかも知れませんが、公式発表や関連記事には一切書かれていません。

続報が出るかは分かりませんが、侵入手口が分かると更に気づきが他社にも出ると思いますので、もし何か情報が出ましたら記事を更新できればと思います。

 

・・・と書いてきましたが、1点だけ実は気になったポイントがあります。

これまでの調査結果により、2012年1月~2020年6月の期間内に当社の海外企画旅行商品「ルックJTB」で、アメリカ本土(ハワイを除く)、 カナダにご旅行いただいた(又は旅行予定であった)2,525件のお客様の「ローマ字氏名」および 「RAKUなびサポート(https://www.jtb.co.jp/lookjtb/rakunavi/)」をご利用いただくためにログインIDとして登録いただいた2,396件の「メールアドレス」(※1)が 流出した可能性のあることが判っております。

(公式発表より引用)

 

もしかすると、JTBは検討の上で、ここはあえて強化しない事を決めたのかも知れませんが、顧客データの保持期間について、約9年半、これだけ長い期間データを保持しておく(すぐ使える状態にしておく)必要性があったのかについては少し疑問です。

 

先日婚活アプリOmiaiの不正アクセス事件で、本人確認データの保管期間が10年であった事が話題となりましたが、事件を受けての運用見直しの結果、今年の12月からは審査に必要な本人確認データは72時間後、退会後の個人情報は90日で消去する運用に変更すると報じられていました

保管期間を長期間(10年又は無期限)に定める事というのは、確たる必要性があれば別かと思いますが、今の時代は”リスク”になりつつある気がしてなりません。

 

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

 子供達の飛行機旅行のイラスト(修学旅行)

 

更新履歴

  • 2021年8月19日 AM