約793万人分の個人情報が流出した可能性あり
標的型攻撃でも情報流出が防げるのか
3月15日にi.JTBの代表メールに航空会社を偽った標的型メールが届き、航空券やホテルなどの予約を担当する社員が開いたことでウイルスに感染しました。標的型メールの件名は「航空券控え 添付のご連絡」で、ウイルスである添付ファイルは「Eチケット控え」とのこと。偽メールと疑う余地がないくらい巧妙にできていたそうです。ウイルス感染後、犯罪者により個人情報のデータファイルがサーバーに作成されたとのことです。
個人情報が流出した可能性があるものの、今のところ個人情報が悪用されたという二次被害はなく、JTBは情報流出の原因をきちんと分析し、しっかりと対策を講じています。ただ、JTBに限らず今後も個人情報が漏えいしてしまう事件が繰り返されないか不安だけは残ります。どうすれば標的型攻撃でも情報流出を防ぐことができるのでしょうか。
本丸の守りは弱かった
その会社で働いていないと知り得ないような企業間取引を調べ上げ、騙してきたとすれば、メールを見ただけで偽物と判断するのは難しいでしょう。ウイルスメールを受け取った予約の担当者は添付ファイルの「Eチケット控え」を確認し、表示された人物の申し込みがないため「該当なし」の返信までしたとのことです。ちなみに、よくあるウイルス事件であれば、添付ファイルを開いても何も表示されないため、異常に気付いたりします。今回のように本物の書類が表示されてしまったら、ウイルスに気が付く可能性は低いでしょう。ここで問題は、受付のパソコンがウイルスに感染しただけで約793万人分の個人情報がごっそりと抜かれてしまったということ。本丸の守りは弱かったので、ウイルス被害が起きてしまえば情報流出を防ぐことはできない状態だったと言えます。JTBは事件を受け、その対策として個人情報へのアクセス強化をすでに完了させているとのこと。またITセキュリティ教育については、実践的な演習でサイバー攻撃の察知力を高めるそうです。情報流出の原因をきちんと分析し、しっかりと対策を講じています。
標的型を見込んだ対策が求められています
日本年金機構の情報漏えいは、ルールが守られていないために起きました。機密情報にはパスワードを設けるルールになっていましたが、パスワードを設けていないものがあり、漏えいしてしまいました。しかし、JTBはそのようなミスや落ち度はなく、単純に力勝負で負けてしまったのです。これまでのセキュリティ水準で設計された対策では、標的型攻撃に耐えられない、防ぎきれないことが常識になりつつあります。つまり、個々の企業のセキュリティ水準が標的型攻撃に勝てるレベルになることが求められています。また、社会全体でもセキュリティ水準の底上げが必要とされてきています。たとえば、電子署名や送信ドメイン認証といった偽メールを防ぐ技術がありますがまだまだ普及していません。ちなみに、電子署名は、送信者を証明するものでメールに付けて送信します。なりすましメールに電子署名を付けることはできません。また送信ドメイン認証は、メールを送信したサーバー(ドメイン)を調べます。表示は航空会社のメールアドレスで、メールを送信したサーバーが航空会社と違うものなら、他人がなりすましているとわかります。これらは標的型メールやフィッシング、ウイルスメールの対策にとても有効です。
サイバー攻撃はセキュリティレベルの低いところから侵入し、そこを踏み台にして芋づる式で広がります。個人でもウイルス対策ソフトを使い、ウイルス予防することが大切です。また「日本郵政を装うウイルスメールが流行!しっかり対策を」でウイルスメールを解説しています。こちらも読んで予防してくださいね。みんなでサイバー犯罪を撲滅させるという、そんな大きな転換点にいるのではないでしょうか。
【関連記事】
・他人ごとではない、年金情報流出事件が起きた背景
【関連サイト】
・不正アクセスによる個人情報流出の可能性について
