Report
コラム・レポート

【情報漏洩】情報流出の事例からみる今後の情報漏洩対策のあり方について

2016年6月24日

今回は直近(2016年6月現在)で話題になった情報漏洩問題にから感じた今後の情報漏洩対策のあり方についてご説明したいと思います。

情報漏洩事例4 JTB

2016年6月、JTBが情報漏洩により顧客データ約800万件を流出させたことを公表しました。事の発端は2016年3月、偽装メールをオペレーターが開いたことから始まります。結果としてウィルスに感染し顧客データが流出することになりました。
これだけを見るとオペレーターが開いてはいけないファイルを開いてしまった結果の流出、不注意のように見受けられますが、詳細を確認しますと事はそう簡単なものではありませんでした。

巧妙な手口

2016年3月15日、「i.JTB」宛に一通のメールが届きます。後にこのオペレーターは「なんの不信感もなかった」と述べています。
メールの件名は「航空券控え 添付のご連絡」メールアドレスは「普通の日本人の苗字@実在する国内航空会社のドメイン」だったそうです。
メールには「北京行きのEチケット」のpdfが添付されていました。
精巧な作りとなっており、誰もニセモノだとは疑わなかったそうです。
オペレーターはこのファイルを開き、pdf内に書かれていた乗客の名前を検索しても該当する名前は見つかりませんでした。そして、オペレーターはメールの送り主に「該当はありません」と返信までしています。

これだけで如何にそのメールが精巧に作られていたか想像が出来るかと存じます。
返信後すぐにエラーメールが戻ってきましたが、その時点でオペレーターは異変に気づけませんでした。

発覚

数日後、サーバー内部から海外への不正なアクセスが見つかり、原因を検証した結果このメールの存在が明るみになったと言います。
JTBは謝罪会見で「一目では判断できるものではなかった」「知らないメールを開くな、というルールはありますが、これだけでそのオペレーターを責めるには、少し無理がある」と語っています。
通常、流出させてしまった要因となった人物は何らかの責任を取るのが普通です。しかし、上司から見ても「これは仕方ない」と思ってしまうほどの巧妙な手口だったのです。

今回の事件から見る今後の情報漏洩対策のあり方

今回の情報漏洩事件は、今までの流出問題とは少し趣が違うように感じられます。これまでの情報漏洩は「誰かが何かしらの不注意を起こした」結果として起きるものがほとんどでした。事実、前回の情報漏洩の事例は全てこれに当てはまります。 しかし、今回の事件は後で振り返っても「また同じ自体を起こしてしまう可能性がある」と感じられるほど巧妙な手口となっていました。
例えば、誰から送られたかわからないようなメール。中身が英語で羅列されてURLが載っている怪しげなメール、これらのメールの添付ファイルやURLを誤ってクリックしてしまったのであればそれは不注意と言えるかもしれません。
しかし、今回のように「その会社に合わせた」内容のメールが送られてくるとどうでしょうか。
旅行会社に旅行案内のメール。食品会社に食品関連の手続きのメール。スポーツ用品会社に用具案内のメール。
上記のようなメールは「本来読まなければならない類のメール」の可能性も大いにあります。その中で「このメールはウィルスかもしれないので開かないでおこう」という判断のできる方、必ず対処できると言い切れる方はどれほどいらっしゃるのでしょうか。
今回の事件はただの情報漏洩ではなく、今後の情報漏洩対策のあり方に警鐘を鳴らす事件のように思えます。

弊社では下記のように外部からの攻撃を守るためのシステムを提供しておりますので少しでも不安に感じられる方がいましたらご連絡いただければと存じます。

サイバー攻撃・セキュリティー対策 https://www.siemple.jp/product/cyber_security/

Contact
お問い合わせ

  • お電話での
    お問い合わせ

    内容の大小に問わず、
    お気軽にお尋ねください。※法人専用
    (受付時間 9:00 ~ 18:00 ※土日祝除く)

    03-3275-6646

    フォームでの
    お問い合わせ

    ご不明点やお悩みなど、お気軽にお問い合わせください。
    専任担当者からすぐに折り返しご連絡致します。

    お問い合わせ

    お役立ち資料

    サービス紹介、会社案内、研究報告等の豊富な資料を
    ダウンロードして頂けます。

    ダウンロード