ブログ - JTBの個人情報流出(の可能性)を考えてみた
被害者(候補)の一人として考えてみようと思う.
793万件のデータが漏洩という事で,ベネッセの3504万件よりは少ない.ベネッセの場合,内部でデータベースにアクセスできたエンジニアがデータを取り出して名簿業者に販売したという事で,今回の事件とは性質が違う.
JTBの公式サイト上には,次の様に敬意が掲載されていたので転載.
i.JTBというのはオンライン販売に特化したJTBの子会社なんだな.
報道だけ聞いているとJTBのオンラインサイトがクラッキングされてデータベースからデータが抽出されて持って行ったのかと思ったけれど,この発表だけを見ると,こんな感じかな.
ネット販売専用のi.JTBの従業員に不審な添付ファイルのメールが届いて開く.
それをきっかけに情報を収集して外部に送信するプログラムが埋め込まれる.
ファイルサーバを見つけ出してデータを探し当てる.
ファイルサーバにデータベースのダンプデータのファイルがあった.
そんなところじゃなかろうか.トロイの木馬なんだろうな.
自分だったらこうつくる.不正プログラムはネットワーク上の通信可能な別のコンピュータを見つけ出す.
パケットの種類からプロトコルとサーバの役割を判断する.
サーバの種類から侵入方法を考える.
ファイルサーバだったら,乗っ取ったPCからサーバに接続している際にファイル一覧を取得とか.そのファイル名情報を不正プログラム作者に送信する.
不正プログラム作者がファイルを選んで,それを送信してくる様に不正プログラムに命令をする.
データベースに直接接続する事も考えられるけれど,ID/PASSを特定するのは難しいとおもうし,普通のPCから直接データベースに接続する様な利用方法は無いとおもうので,やっぱりファイルサーバかな.
今回クレジットカード情報の漏洩は無いという事だったので,データベースから抽出した分析用データ的な意味合いのファイルが盗まれたのかなと,想像します.クレカ情報は分析しても活用方法がないし,抽出できない様にしていると思うので.
今回の様な場合は,トロイの木馬に対して命令をだしたり情報を受け取ったりするためのコントロールしているコンピュータが必要で,不正プログラムからすると特定のIPアドレスなりに送信する必要があるから,その線から調べるのだろうけれど,海外サーバだろうから解明は難しいのだろうね.
----
なんて思っていたら,直接データベースに接続していたらしい.BIツールで実績データベースにつなげられる仕組みを提供していたそうで.
販売用DBからデータが分析用に展開されていたサーバがクラックされたようだ.使われたとオモ悪マルウェアはLIRKSとかKorplugと言われるものでスクリーンキャプチャもキーストロークも外部に送信するそうです.
ちなみにこれが情報漏洩対象者として連絡をを受けた時のメール.「URLを控える」という記述に興味があるね.
793万件のデータが漏洩という事で,ベネッセの3504万件よりは少ない.ベネッセの場合,内部でデータベースにアクセスできたエンジニアがデータを取り出して名簿業者に販売したという事で,今回の事件とは性質が違う.
JTBの公式サイト上には,次の様に敬意が掲載されていたので転載.
(1)3月15日(火)、取引先を装ったメールの添付ファイルを開いたことにより、
i.JTBのパソコンがウイルスに感染しました。この時点ではウイルスに感染
したことに気がつきませんでした。
(2)3月19日(土)~24日(木)、i.JTB内の本来個人情報を保有していない
サーバーにおいて、内部から外部への不審な通信が複数確認されました。
(3)不審な通信を特定し遮断すると共に、ネットワーク内の全てのサーバー、
パソコンの調査を行いました。その結果、サーバー内に「外部からの不正侵入
者が3月21日(月・祝)に作成して削除したデータファイル」の存在を、
4月1日(金)に確認しました。
(4)外部のセキュリティ専門会社と共同で、ウイルスを駆除するとともに、
データファイルの復元と不正なアクセスの調査・分析・対応を継続して
行いました。
(5)5月13日(金)、復元したデータファイルに個人情報が含まれることが確認され
個人情報流出の可能性があることが判明いたしました。それを受け、
ジェイティービー(グループ本社)内に「事故対策本部」を設置いたしました。
(6)直ちに、データの正規化に着手し、今般、復元したデータファイルに
約793万人分の個人情報が含まれていたことが判明いたしました。
(7)本件については警察に相談をしております。
報道だけ聞いているとJTBのオンラインサイトがクラッキングされてデータベースからデータが抽出されて持って行ったのかと思ったけれど,この発表だけを見ると,こんな感じかな.
そんなところじゃなかろうか.トロイの木馬なんだろうな.
自分だったらこうつくる.
データベースに直接接続する事も考えられるけれど,ID/PASSを特定するのは難しいとおもうし,普通のPCから直接データベースに接続する様な利用方法は無いとおもうので,やっぱりファイルサーバかな.
今回クレジットカード情報の漏洩は無いという事だったので,データベースから抽出した分析用データ的な意味合いのファイルが盗まれたのかなと,想像します.クレカ情報は分析しても活用方法がないし,抽出できない様にしていると思うので.
今回の様な場合は,トロイの木馬に対して命令をだしたり情報を受け取ったりするためのコントロールしているコンピュータが必要で,不正プログラムからすると特定のIPアドレスなりに送信する必要があるから,その線から調べるのだろうけれど,海外サーバだろうから解明は難しいのだろうね.
----
なんて思っていたら,直接データベースに接続していたらしい.BIツールで実績データベースにつなげられる仕組みを提供していたそうで.
販売用DBからデータが分析用に展開されていたサーバがクラックされたようだ.使われたとオモ悪マルウェアはLIRKSとかKorplugと言われるものでスクリーンキャプチャもキーストロークも外部に送信するそうです.
ちなみにこれが情報漏洩対象者として連絡をを受けた時のメール.「URLを控える」という記述に興味があるね.
件名: 【重要なお知らせ】「不正アクセスによる個人情報流出の可能性について」
※本メールは、個人情報が流出した可能性がある方に送信しております。
すでに、お客様特設窓口(フリーダイヤル)にお問い合わせをいただいた方には、
重ねてのご案内になりますがお許しください。
お客様各位
このたび、弊社のインターネット販売を主とするグループ会社である
株式会社i.JTB(アイドットジェイティービー)のサーバーに、
外部からの不正アクセスがありました。
お客様にはご迷惑、ご心配をおかけすることになりましたことを
深くお詫び申し上げます。
調査の結果、本メールを受信したお客様の個人情報が一部流出した可能性が
あることが判明いたしましたので、ご登録のメールアドレスに
ご連絡を差し上げております。
なお、お客様の情報には、現在有効なパスポート番号・取得日の情報は
含まれていないことが確認できております。
含まれていた個人情報は、オンライン予約の際に入力された、
以下の(1)~(7)の一部または全部の情報となります。
(1)氏名
(2)性別
(3)生年月日
(4)(本メールを受信された)メールアドレス
(5)住所
(6)郵便番号
(7)電話番号
なお、クレジットカード番号、銀行口座情報、ご旅行の予約内容は
含まれておりません。
また、現在のところ、個人情報を悪用されたことによる被害の報告は
入っておりません。
経緯等詳細につきましては、
JTBグループサイト『感動のそばにいつも』トップページより
「不正アクセスによる個人情報流出の可能性について」をご参照ください。
※安全のため、本メールからURLへのアクセスを求めることを
差し控えさせていただいております。
ご不便をおかけしますが、検索によりアクセスをお願いいたします。
お客様にお願いではございますが、弊社が本案件の確認を理由に、電話・郵便・
メール等で、クレジットカード番号・銀行口座情報・暗証番号・ID/パスワード・
マイナンバー等をうかがうことは絶対にございません。
弊社を名乗った詐欺等にはくれぐれもご注意いただきますよう
お願い申し上げます。
また、万が一、身に覚えのない連絡があった場合や、
個人情報を不正に利用された事実があった場合は、
下記、お客様特設窓口までご連絡を賜りますようお願い申し上げます。