最大約793万人分もの個人情報が流出した可能性があることが14日、明らかになった旅行大手のJTB。原因は大規模取引先の航空会社を装ったメールに添付された標的型ウイルスだった。対応は後手にまわり、顧客データをコピーされた上に、外部に流出したかどうかすら判然としないという。メールは海外のサーバーを経由して届いており、警視庁の捜査も難航するとみられる。
「顧客の旅程を確認したい」。取引先対応の部署になじみの航空会社のドメイン(ネット上の住所)を持つメールから問い合わせがあったのは3月15日。日本語で書かれた文面に従って添付ファイルを開いた。
担当した20代女性社員は顧客の旅程を確認できず、その旨をメールで返信。標的型ウイルスの疑似メール対策などの訓練を受けていたが、違和感はなかったという。JTBの担当者は「気付くのは難しかった」と話す。
ウイルスは次から次へと開発され、巧妙化している。今回も新種で、セキュリティー対策会社がまだ対応していなかった。
JTBの対応は遅かった。同月19日には外部のセキュリティー会社から不審な通信があることを知らされていたにもかかわらず、完全に通信を遮断したのは個人情報がコピーされた同月21日よりも後だった。この間にサーバーを遠隔操作されたとみられ、1人しかアクセス権限のないサーバーから顧客データをコピーされた。通信記録の設定も甘く、外部に流出したかどうかさえ「確認できない」という。
届いたメールは世界中のいくつものサーバーを経由しているものとみられ、発信源を突き止めるのは困難を極める。
JTBのIT企画担当役員、金子和彦氏は14日の記者会見で、「標的型ウイルスの脅威を十分に認識していなかった」と対応の悪さを認めざるを得なかった。