今回は直近(2016年6月現在)で話題になった情報漏洩問題にから感じた今後の情報漏洩対策のあり方についてご説明したいと思います。
情報漏洩事例4 JTB
2016年6月、JTBが情報漏洩により顧客データ約800万件を流出させたことを公表しました。事の発端は2016年3月、偽装メールをオペレーターが開いたことから始まります。結果としてウィルスに感染し顧客データが流出することになりました。
これだけを見るとオペレーターが開いてはいけないファイルを開いてしまった結果の流出、不注意のように見受けられますが、詳細を確認しますと事はそう簡単なものではありませんでした。
巧妙な手口
2016年3月15日、「i.JTB」宛に一通のメールが届きます。後にこのオペレーターは「なんの不信感もなかった」と述べています。
メールの件名は「航空券控え 添付のご連絡」メールアドレスは「普通の日本人の苗字@実在する国内航空会社のドメイン」だったそうです。
メールには「北京行きのEチケット」のpdfが添付されていました。
精巧な作りとなっており、誰もニセモノだとは疑わなかったそうです。
オペレーターはこのファイルを開き、pdf内に書かれていた乗客の名前を検索しても該当する名前は見つかりませんでした。そして、オペレーターはメールの送り主に「該当はありません」と返信までしています。
これだけで如何にそのメールが精巧に作られていたか想像が出来るかと存じます。
返信後すぐにエラーメールが戻ってきましたが、その時点でオペレーターは異変に気づけませんでした。
発覚
数日後、サーバー内部から海外への不正なアクセスが見つかり、原因を検証した結果このメールの存在が明るみになったと言います。
JTBは謝罪会見で「一目では判断できるものではなかった」「知らないメールを開くな、というルールはありますが、これだけでそのオペレーターを責めるには、少し無理がある」と語っています。
通常、流出させてしまった要因となった人物は何らかの責任を取るのが普通です。しかし、上司から見ても「これは仕方ない」と思ってしまうほどの巧妙な手口だったのです。
今回の事件から見る今後の情報漏洩対策のあり方
今回の情報漏洩事件は、今までの流出問題とは少し趣が違うように感じられます。これまでの情報漏洩は「誰かが何かしらの不注意を起こした」結果として起きるものがほとんどでした。事実、前回の情報漏洩の事例は全てこれに当てはまります。
しかし、今回の事件は後で振り返っても「また同じ自体を起こしてしまう可能性がある」と感じられるほど巧妙な手口となっていました。
例えば、誰から送られたかわからないようなメール。中身が英語で羅列されてURLが載っている怪しげなメール、これらのメールの添付ファイルやURLを誤ってクリックしてしまったのであればそれは不注意と言えるかもしれません。
しかし、今回のように「その会社に合わせた」内容のメールが送られてくるとどうでしょうか。
旅行会社に旅行案内のメール。食品会社に食品関連の手続きのメール。スポーツ用品会社に用具案内のメール。
上記のようなメールは「本来読まなければならない類のメール」の可能性も大いにあります。その中で「このメールはウィルスかもしれないので開かないでおこう」という判断のできる方、必ず対処できると言い切れる方はどれほどいらっしゃるのでしょうか。
今回の事件はただの情報漏洩ではなく、今後の情報漏洩対策のあり方に警鐘を鳴らす事件のように思えます。
弊社では下記のように外部からの攻撃を守るためのシステムを提供しておりますので少しでも不安に感じられる方がいましたらご連絡いただければと存じます。
サイバー攻撃・セキュリティー対策 https://www.siemple.jp/product/cyber_security/