旅行業界最大手のJTBが793万人もの顧客情報を流出か? というニュースが昨日発表されました。

流出したとされる793万という数字の大きさとともに、パスポート番号が含まれていること、3月15日に発生し、3月19日にセキュリティ会社から連絡を受けて事件の発生を知った時点から3ヶ月も経過しての発表という、今どきの大手企業の対応としては信じられない事態です。

国交省の動きに見る事態の重大さ

この事件の深刻度は昨日の会見が国交省で行われたということが示しています。 通常記者会見は自社の施設か、記者クラブ、あるいはホテルの宴会場等で行われれますが、監督官庁で行われるということは、監督官庁が重大な事件であると把握し、事態の収拾のために動き出していて、JTBが厳しい指導をうけていることを意味します。

これは、偏にパスポート番号が漏えいしていることによるものでしょう。 現在テロ防止のために、世界各国の当局が連携して偽造パスポートの防止と発見に努めている中で、パスポート番号を含む個人情報が大量に漏れることは重大な信用失墜事件です。

世界の中でも信用度の高い日本のパスポートが偽造されて悪用されることは、なんとしても防がなければなりません。

万が一793万人全部のパスポート番号が漏れたとすれば、世界中で一時的に日本人の入国が拒否される事態にもなりかねない非常に大きな問題です。

幸いなことにパスポート番号が含まれていたのは9154件で、そのうち4359件が6月14日時点で有効な番号だということで、793万という数からすれば小さいですが、4359件ものパスポート情報が流出し、テログループの手に渡る可能性があるのですから、国際的に十分インパクトのある事件ということができます。 国交省が国のメンツをかけて動くのも当然と言えます。

plugXを仕掛ける標的型メール攻撃

読売オンラインの記事に,JTBの広報担当者と記者の標的型メールの概要についてのやりとりが記載されています。 それによれば、取引先の実在のドメインから日本人の一般的な漢字の氏名で、業界用語も入った通常の取引先とのやりとりに使われるメールと何ら違和感のないメールであったため、添付ファイルを開いてしまったということでした。 ここでplugXに感染してしまい、このPCを足掛かりに、LANを通じて社内のPC6台とサーバー2台に感染を広げて、重要な情報を探し回り、サーバーにある顧客情報を探り当てて、外部へ送り出すという動作が、外部通信を完全遮断する3月25日まで行われたということです。

このPlugXというウィルスは標的型攻撃に良く使われる定番のプログラムで4年ほど前から登場していました。 JPCIRTでもこのウィルスの動静を監視しており、2014年末頃に大きく改良(改悪というべきでしょうか?)されて、脅威度を増しています。 この仕様を見る限り、非常に良く設計されてできているプログラムだという印象を受けます。 まっとうな用途に使えば世の中の役に立つのに、もったいないことです。

定番ウィルスであれば、セキュリティソフトで発見されるのではと思う方もいらっしゃるかと思いますが、「アンチウィルスは死んだのか?」で書いたように、最近の高機能ウィルスはプログラムを少しだけ書き換えて毎回新登場してきますから、従来型のパターンマッチングタイプのセキュリティソフトでは検知できません。 その技術に依存したセキュリティソフトしか入れていないと簡単に侵入されてしまいます。 このような大規模な事件が起きた場合は使用していたセキュリティソフトを公表すべきだと私は思います。 名前は控えますが、あのシェアの高いセキュリティソフトを使っていたから、大きな漏洩事件を防げなかったという事実は伝えられなければならないと思います。

組織体制の不備

3月19日に侵入されたことを示す異常な通信があることをセキュリティ会社から連絡を受けていながら、直ちに外部通信を遮断することをしないで被害を拡大させたJTBの対応はお粗末としか言いようがありません。

同社のプレスリリースでITセキュリティ専任統括部門を7月に発足させることを表明していますが、これだけの個人情報を保有する大企業でセキュリティ部門が無かったということに驚きました。

もちろん、既にあったならこんなお粗末なことにはならなかったはずです。

初動体制の遅れは被害を拡大させます。 外部との異常な通信が発見されたら、直ちに通信を遮断する措置が必要ですが、それはすなわち業務を停止させることを意味します。 それだけの重い経営判断を直ちに下せる権限を持ったセキュリティ責任者(CISO:Chief Information Security Officer)がいなければ、このような最悪の事態を引き起こします。

そして何よりも必要なのは、経営者が情報漏洩の経営に与えるリスクを把握し、リスクホルダーとしての認識と覚悟を持つことです。 どんなに立派な仕組みを作っても、経営者に理解と覚悟がなければ機能しません。

どれだけの情報セキュリティ上のリスクがあって、それに対してどれだけの投資と対策をして、最終的にどれくらいのリスクが残るのか

そのリスクが発生した時にどのような手順で対応するのかを綿密に準備しておく必要があります。

そのために、CSIRT(Cyber Security Incident Response Team)を組織し、有事への備えをするのが最近の流れになっています。

侵入されるのを前提とした対策が重要

Cyber攻撃は火事と同じで、一刻の猶予もありません。 燃え盛る火の海を前にして「どうしよう?」などと言っていられないのと同じで、即座に対応を取らなければ、どんどん影響が広がり、外部へ延焼して行きます。

ですので、Cyber攻撃への訓練は火災予防の訓練と非常に性質が似ています。 日ごろから対策を体に覚えさせておくような訓練が必要です。

添付ファイル付きのメールを開かない訓練だけではなく、侵入されたり、外部への通信が発見されたときにどうするのかの手順を定め、訓練しなければなりません。

2~3年前までは、情報セキュリティ対策と言えば、とにもかくにも強固な侵入防止対策でしたが、現在は侵入防止は当然のことだから当然やって置いて、その上で侵入された後に如何に被害を防止あるいは最小限に抑えるかということに関心が移ってきています。

標的型攻撃の手法の高度化に伴い、侵入を完全に防ぐことは困難だという認識を持たなければならない時代になったということなのです。

つまり、攻める側と守る側のレベルが同等になってしまった。 昔は攻撃者は個人で、守る側は企業や国家組織というレベル差があったので、守る側優位で進んできました。 しかし現在はサイバー攻撃がライフルやミサイルといった兵器と同様の攻撃手段として扱われ、組織的に攻撃手法が開発されています。 その組織は国家であったり、テロリストや犯罪者集団だったりします。 日本でも暴対法で暴力団の活動が抑え込まれ、サイバー犯罪にシフトしているとい噂があります。

このような背景から、今後サイバー犯罪が減るということはあり得ず、ますます被害は拡大するものと思われます。

まず、侵入されたらどうするのか。 だれが責任を持って事態を収拾するのか。 お客様への対応、マスコミへの対応。 あらゆる事態を想定して対応策を決めておく必要があります。

しっかりした、組織づくり、手順作り、計画と運用とそのチェックと改善。 それらを確実に実行し改善するためにISO27001の規格があります。 日々進化していくサイバー攻撃に対処するには、この規格に則って情報セキュリティの仕組みを動かしていくことが確実な手法と言えるでしょう。

VMware Workstation 12 Player