JTB、個人情報流出か、約793万人分-7月に対策部門新設
ジェイティービー(JTB)は6月14日、i.JTBのサーバーに外部から不正アクセスがあり、約793万人の顧客の個人情報が流出した可能性があることを発表した。取引先の航空会社からを装って送られた、特定の組織や個人をねらって情報を盗む「標的型攻撃メール」によるもの。個人情報を悪用されて被害にあったという報告はあがっていないという。
流出した可能性がある個人情報は氏名や性別、生年月日、メールアドレス、住所、電話番号、パスポート番号と取得日で、顧客ごとに内容が異なる。パスポート情報のうち現在でも有効なものは4359件。クレジットカードや銀行口座の情報は含まれていない。
対象となるのは「JTBホームページ」「るるぶトラベル」「JAPANiCAN.com」またはJTBグループ内外のオンライン販売提携ウェブサイトで旅行商品を予約した顧客で、ほとんどが日本人。店舗での予約は含まれないが、ウェブサイトで予約し店舗で精算した顧客は対象となる。JTB旅物語や高速バス、現地観光プランやレジャーチケット、海外ダイナミックパッケージ、海外の航空券やホテル、現地オプショナルツアー、保険などは対象外。
JTBによれば、3月15日にi.JTBの代表アドレスに、日系航空会社のドメインを装ったアドレスから「航空券控え 添付のご連絡」と題したメールが送られてきた。本文はなく、i.JTBで航空券やホテルなどの予約を担当する社員が添付ファイルの「Eチケット控え」を開いたことで、i.JTBのパソコンがウィルスに感染したという。その後、3月19日から24日に、i.JTB内のサーバーで内部から外部への不審な通信を複数確認。20日から不審な通信の遮断や、ネットワーク内の全サーバーとパソコンの調査を実施した結果、4月1日に海外からの不正侵入者がデータファイルを作成・削除していた事が分かった。
その後、外部のセキュリティ会社とウィルスの駆除やデータファイルの復元、不正なアクセスの調査・分析・対応に引き続き取り組み、5月13日にデータファイルを復元した際、ファイル内に個人情報が含まれていた事が判明した。これを受けて、JTBではグループ本社に代表取締役社長の高橋広行氏(※高ははしご高)をトップに据えた「事故対策本部」を設置し、データファイルをさらに精査。6月10日に対象となる全顧客が判明した。
同社では5月30日に警視庁について事件の相談を実施。相談が5月末に、発表が6月になったことについては、6月14日の記者会見で登壇したJTB取締役経営企画部長でIT企画を担当する金子和彦氏が「お客様の特定ができないまま案内すると、お客様に不安感を与え混乱を招くと(事故対策本部で)判断した」と説明した。
記者会見では高橋氏が顧客や関係者に対して謝罪を実施。「お客様に2次被害が拡大しないような措置をとることが優先課題」と語った。JTBでは同日17時に対応のウェブサイトに、今回の事件に対する説明文を掲載。対象の顧客にはそれぞれメールで状況を報告するとともに、問い合わせ窓口を設定して対応する。14日はスタッフ300名を窓口に配置し、今後の状況次第では増員も検討する。
今後は7月1日付けで、JTBグループ本社に「ITセキュリティ選任統括部門」を設置。今まではITセキュリティについてはJTB情報システムが担当していたが、本社に初めてこうした機能を設けた。JTB専務取締役の末永安生氏をトップに、JTB取締役国内事業本部長でWeb戦略を担当する今井敏行氏と金子氏が所属するほか、JTBグループ本社、i.JTB、JTB情報システムの社員が所属する予定で、規模は20名から30名程度を見込む。また、これまでも社員ITセキュリティの教育をおこなってきたが、今後はさらに教育体制を強化するとともに実践的な演習を実施し、サイバー教育を察知する能力の向上もめざす。