韓流研究室

ARTICLE PAGE

JTBに不正アクセス、793万人の個人情報流出の恐れ!パスポート情報も

★JTBに不正アクセス、
 793万人の個人情報流出の恐れ 
 パスポート情報も

 ITmedia 2016年06月14日 18時00分
 
http://www.itmedia.co.jp/news/articles/1606/14/news144.html
JTBは6月14日、顧客情報の入ったサーバが
不正アクセスを受け、
約793万人分の個人情報が流出した恐れがある
と発表した。
現時点で流出の事実は確認しておらず
悪用などの被害報告もないという。

不正アクセスを受けたのは、
同社のグループ会社「i.JTB」(アイドットジェイティービー)
のサーバ。「JTBホームページ」「るるぶトラベル」
「JAPANiCAN」などのWebサイトのほか、
JTBグループ内外の提携サイトで予約した
ユーザーの情報が対象だ。

 流出した可能性がある個人情報は、
住所と氏名、性別、生年月日、メールアドレス、
電話番号、パスポート番号・取得日。

パスポート番号・取得日については、
現在も有効なものは約4300件という。
クレジットカード番号、銀行口座情報、旅行の
予約内容は含まれない。

 3月15日、
i.JTBのPCで取引先を装ったメールの添付ファイル
を開封し、ウイルスに感染。

19~24日、内部から外部への不審な通信を複数確認し、
通信を遮断・調査したところ、サーバ内に不正侵入者が
作成して削除したデータファイルが4月1日に見つかった。

 セキュリティ専門会社と共同でデータファイルを復元し、
個人情報が含まれていたことが5月13日に判明。
社内に「事故対策本部」を設置し、データの正規化に
着手したところ、約793万人分の個人情報が入っていた
ことが分かったという。

 対象となる顧客には順次メールで連絡する予定。
現在のところ、個人情報流出の事実や悪用被害は
確認していないという。
不審な連絡や被害を受けた際は特設窓口に
連絡するよう呼びかけている。

(引用ここまで)


★JTB不正アクセスは
 「標的型メール」攻撃

 NHK 6月14日 19時39分
 http://www3.nhk.or.jp/news/html/20160614/k10010556651000.html
(引用開始)
こうした、特定の標的を狙ってメールを送りつけ、
ウイルスに感染させて政府機関や企業が持つ
機密情報を盗み取ろうとする
「標的型」のサイバー攻撃はこれまでにも相次いでいます。

去年6月には日本年金機構が標的型のメールによる
サイバー攻撃を受け、
年金加入者の氏名や基礎年金番号など
およそ125万件に上る個人情報が流出した
ことが
明らかになり、大きな問題となりました。
このとき、個人情報流出のきっかけとなった
電子メールのタイトルは、
「厚生年金基金制度の見直し」に関する内容を
装っていました。
また、6年前には、三菱重工業の社員を狙って
ウイルスが添付されたメールが送りつけられ、
ミサイルや原発関連の生産拠点などにある
サーバーとパソコン80台余りがウイルスに感染し、
情報が抜き取られた
と見られています。
さらに5年前には、
国会議員のパソコンが感染し、衆議院のネットワークを
利用するための議員や秘書らのIDやパスワード、
それに
一部の議員の文書なども流出したとみられています。


情報セキュリティーの専門家は

情報セキュリティーを手がける「EMCジャパン」の
水村明博さんは、
今回のJTBに対するサイバー攻撃の手口について、
「去年の日本年金機構の情報流出とよく似た、
 典型的な『標的型メール』による攻撃だ。
 最近の手口では、一度、相手のパソコンを
 遠隔操作できればふだんのやり取りも
 簡単に見られてしまうので、
 得意先などを装った攻撃が簡単に仕掛けられる。
 メールアドレスの偽装も容易に出来てしまうため、
 企業はウイルスに感染することがあるという
 前提にたって対策することが必要だ。
 怪しい通信を検知する仕組みや通信記録を
 しっかりと残して、いざというときにすぐ原因や
 経路をたどれるようにすることが必要だ」

と指摘しています。

一方、今回、パスポートの情報が流出したことについて、
「現在の日本のパスポートは
 ICチップなどが仕込まれているので、
 番号だけでは偽造が出来ず、
 ただちに悪用はされない」と話しています。

ただし、去年の日本年金機構の情報流出の際は、
機構をかたって、さらに情報を聞き出そうとする
不審な電話が相次いだことを踏まえ、
「都道府県や政府機関をかたって
 パスポート情報を持っていると信じ込ませて
 新たな情報を聞き出したり、
 お金を振り込ませたりする犯罪が
 起きる可能性がある。
 怪しい電話には対応せず、すぐに都道府県などに
 問い合わせをしてほしい」

と話しています。そのうえで、
日本では、4年後に東京オリンピック、
 パラリンピックが開かれるため
 外国からの旅行客などが増えることが
 予想される。
 旅行会社や交通会社は、情報セキュリティー
 対策のより一層の強化が必要
だ」

と指摘しています。


パスポート番号悪用の可能性は

大手旅行会社「JTB」から流出した可能性が
ある個人情報には、
氏名や住所、メールアドレスのほか、
現在も有効なおよそ4300件の
パスポート番号なども含まれていました。

これらのパスポート番号などが悪用される
可能性について、法務省入国管理局は
日本人のパスポートには
 本人の顔写真の情報などを記録し、
 偽造することが難しいICチップ
 組み込まれているため、
 本人に成り済まして入国審査を通過する
 ことは簡単ではない。
 直ちに不法入国に悪用される可能性は
 低いのではないか」
と話しています。

さらに国際情勢やテロ対策に詳しい
公共政策調査会の板橋功研究センター長は
「パスポートの偽造は難しいうえ、
 流出した可能性があると公表された
 個人情報については、当局も注意深く動向を
 確認するとみられ、
 この情報を基に偽造したとしても、
 かえって目立ってしまうのではないか」
と話しています。

その一方で、板橋研究センター長は
「こうした情報を基に他人に成り済まし
 インターネットを通じて
 クレジットカードを作ったり
 流出したメールアドレス宛てに
 ウイルスに感染するメールを送りつけて
 情報を盗み取ったりするなどの
 悪用は考えられる」として、
注意が必要だと話しています。



急増する標的型メール攻撃

企業などを狙ってウイルスに感染するメールを
送りつけ、機密情報を盗み取ろうとする
「標的型メール」のサイバー攻撃は急増しています。
警察庁によりますと去年1年間に警察が確認した
「標的型メール」によるサイバー攻撃は3828件と、
前の年の2.2倍に急増しているということです。

これは年間の統計がある平成24年以降、
最も多くなっています。
一方で、警察が摘発できたケースは
一部にとどまっています。
警察庁によりますと去年1年間に、
情報を不正に入手するためにパソコンに
うそのメールを送りつけてウイルスに感染させた
などとして不正指令電磁的記録供用の疑いで
摘発されたのは21件、
他人のIDやパスワードを盗んでコンピューターに
侵入したなどとして不正アクセス禁止法違反の疑いで
摘発されたのは373件だったということです。

(引用ここまで)




関連記事

★JTB不正アクセス 狙われたネット予約 
 訪日客も含め「かき入れ時」に打撃

 サンケイビズ 2016.6.15
 http://www.sankeibiz.jp/business/news/160615/bsd1606150656009-n1.htm
(引用開始)
高橋広行社長は経営への影響について
「コメントできない」としたが、
パスポート番号まで流出した可能性がある中
夏の旅行シーズンを控え、消費者の不安は大きい。
個人情報には外国人も含まれており
インバウンド需要にも影を落とす可能性がある。




★「犯人は中国語圏」…
 年金機構サイバーテロ 
 隠蔽工作から漏れたわずかな痕跡

 産経新聞 2016.6.11
 http://www.sankei.com/premium/news/160611/prm1606110020-n1.html


★中国圏からの「年金機構」への
 サイバー攻撃で読み解くべきもの

 やまもといちろうコラム

 デイリーニュースオンライン 2016.06.13
 http://dailynewsonline.jp/article/1144592/
(引用開始)
偽装工作から犯行グループの素性、その手口まで、
あくまで輪郭が分かってきているだけでも
随分な話になっているようですが、
これらの政府機関を狙った攻撃で被害をこうむる
ケースがさらに増え、
深刻な状態になってきております。

 この年金機構のサイバー攻撃については、
もちろん攻撃を実際に行ったグループについては
証拠の隠蔽が行われて辿れない一方、
流出したと見られる日本人の個人情報に関しては、
一部がすでにハッカー界隈で売買の対象となっており、
いわゆるフレッシュな個人情報として
各種のプライベートなデータベースを運営している会社に
買われてしまったと見られます。

正直、大変なことだと思います。

(中略)
社会的、政治的、外交的に
これらのサイバー攻撃の重要性というのは
非常に増してきています。
日本の場合は、言うまでもなく
2020年東京オリンピックが開催されるにあたり、
そこに向けて大量のサイバー攻撃が
組織的犯罪、愉快犯あわせて大量にやってくる
ことが予見されるわけでして、これへの対策を
社会的にどう講じていくべきなのかは
喫緊の課題に他なりません。


(引用ここまで)


★JTB個人情報流出事件
 「パスポート番号」は悪用できるのか
 調べてみたときのメモ

 情報科学屋さんを目指す人のメモ
 http://did2memo.net/2016/06/14/passport-number-akuyou/
(引用開始)
さて、こうなると後はパスポート番号を知っている
ことが、偽造する上でどれだけ役に立つのか、
が焦点となります。

偽造について調べてみると、
本人確認を突破して、不正に発行する
 (なりすまし取得)
」ケースと、
 「発行はせずに、偽のパスポートを作成する・
 購入する
」ケースの
大きく2つのパターンがあるようです。


どうやら前者の「なりすまし取得」が増えて
いたりするようなのですが、
先ほどとほぼ同じ議論で、
番号を知っている所でほとんど役に立ちません。

では後者はというと、
利用場所、がポイントになりそうでした。

というのも、
例えば2006年3月20日以降発行のパスポートには
ICチップが埋め込まれており、
ちょうどそれから10年が経過し、もう10年用の
パスポートすら、ICチップ無しのものは期限が
切れているはずです。
しかしそれも、ICチップの読み取り機がある
場所・国でなければ役に立たないセキュリティ、
であるようで、場面によっては「ICチップ」という
セキュリティがどれだけ役に経つかは疑問、
のようです

(下記は2007年記事で古いので注意)。

”確かに、先進国では有効だろう。
 出入国審査の際、
 そこにはICの情報を読み取る機械が
 設置されている。
 だが、機械が設置されていない国々では
 何の役にも立たない。 (引用元)


となると、パスポート番号についても
同じことが言えるのではないか、と考えられます。

つまり、パスポート番号が適当であっても、
偽造パスポートを製造したり購入したり
ということができてしまえば、
お金を借りる際の本人確認は突破できて
(番号の本物・偽物まではチェックされず)、
それで十分なんじゃないの?
という点です。

しかしさらに調べてみると、
そもそも代理申請は別として、
「偽造パスポート」の大部分は
「盗難されたパスポートの写真が貼り替えられた
 もの(変造パスポートと呼んだりするらしい)」
だったりするようで、
そもそもとっくに正しい番号が載っている状態
だったりするようです。
なので、今さら番号だけ入手しても、
偽造・変造・不正入手のことを考えたら
番号なんておまけで付いてくるようなものであって、
番号が分かっても嬉しくないのではないか、
という気がしてきました。

(続きはリンク先で)



う~~~ん・・・
今現在、悪用された形跡はないとしても
今後、悪用する場所によっては
他人に成りすます事が可能?
フレッシュな個人情報が必要とされるのは
何らかの目的があるから盗むんだよね・・・


★アメリカ政府職員400万人分の
 個人情報がサイバー攻撃で流出か、
 攻撃元は中国と報道

 2015年06月05日
 http://gigazine.net/news/20150605-chinese-hacker-breach-us-federal-data/




政治 ブログランキングへ
スポンサーサイト

Comments 0

Leave a reply