DIGITAL MARKENTING CONSULTING

  • IT企業・システム会社・ソフトハウスの業績アップのノウハウがここにある!
    船井総合研究所 IT企業コンサルティングチーム
  • お問い合わせ
  • 資料請求

コンサルタントコラム

お役立ち情報配信 無料メルマガ登録 売れる商材を知りたいという方へ IT Business Consulting
経営

那須 慎二

【1】他人事ではない、JTBの情報漏えい事件の執拗な手口 ~那須慎二【経営コラム 2016-06-16】

日本最大の旅行会社であるJTBが、サイバー攻撃(標的型攻撃)による被害に遭遇。

 

顧客の個人情報793万件が流出した可能性がある、と記者会見上で発表がありました。

 

残念なことに

 

・2014年はベネッセの情報漏えい事件
・2015年は日本年金機構の情報漏えい事件
・2016年はJTBの情報漏えい事件

 

と大規模な情報漏えい事件が毎年のように、繰り返し発生してしまいました。

 

奇しくも、私が前日(6月13日)に、アイティメディア様の連載にて記事掲載した

「どう防ぐ? 標的型攻撃:「メールの添付ファイルを開いたあと、PCが重い気がする」

の中で説明している「スピアフィッシング」という 標的型攻撃手法による被害と同一の症例だと考えられます。

http://techtarget.itmedia.co.jp/tt/news/1606/07/news01.html

事件として取り上げられた内容が、私がその前日に公開した内容に あまりにも酷似していたため、少なからず驚きを隠せないのですが・・・

http://techtarget.itmedia.co.jp/tt/news/1606/07/news01.html

読んでいない方のために一部引用して説明したいと思います。

 

 


 スピアフィッシングは、メールを使った標的型攻撃。

 

攻撃者は取引先を装い、業務に関連しそうなメールタイトルで、
業務に関係するようなメール本文を構成します。

 

メールに添付したMicrosoftのワープロソフト「Microsoft Word」や
Adobe SystemsのPDFビュワー「Adobe Acrobat Reader」などを偽装した
ウイルスファイルを開封させようとしたり、「Dropbox」「Box」などの
オンラインストレージのURLを添付し、ウイルスファイルをダウンロード
させようとしたりします。対象企業に応じた個別具体的な情報を付加した
内容でメールを送付してくる点が厄介です。

 

※詳しく知りたい方は下記サイトをご覧下さい。

 

「どう防ぐ? 標的型攻撃:「メールの添付ファイルを開いたあと、PCが重い気がする」
http://techtarget.itmedia.co.jp/tt/news/1606/07/news01.html
———————————————————–

 

今回の被害事案では、いくつもの点で「ソーシャルエンジニアリング」 という手法が使われていました。

 

ソーシャルエンジニアリングとは、人間の行動心理の隙や裏を突き情報を盗み取ったり、
思わず行動を誘発させるような攻撃手法のことです。

 

ソーシャルエンジニアリングを駆使しているのは、以下のような内容で 攻撃が行われていたことでわかります。

 

・送信元のメールアドレスとして、実在する取引先の名称が使われていた

・メールの署名には、実在する取引先の会社名、所属部署名、氏名が記載されていた

・日頃から社内でやり取りされていた文言を活用されていた。
 ~普段から業務で当たり前のように使われている【E-TKT控え】という言葉が使われていた

・業務の必要上、開封せざるを得ないような内容のメール内容になっていた
 ~実在する取引先から、「eチケットを送付しますのでご確認ください」と 記載されたメールが届き、かつ実在するメールアドレス(偽装)から届いた

・添付されていたのがPDFファイルだった
 ~実際には実行形式の偽装ファイル。おそらく、RLO(Right to Left Override) というテクニックが使われていたと思われる

 

JTBを狙って、入念に攻撃シナリオを構築していたのがよくわかります。

 

※どのようにして上記のような情報を事前に収集するのか? という疑問が沸くかもしれません。
ソーシャルエンジニアリングのテクニックを使えば、 これらの内容は簡単に抽出できるのです。
二次被害が起こらないように、具体的手法の公開は控えます。

 

攻撃者がターゲット企業に対して攻撃を行う標的型攻撃の場合、
おおよそ以下のような手順で情報を盗み取ります。

 

(1)【準備】標的とした組織(法人企業等)への侵入の前に、入念に調査を行い 侵入の手筈を整える
 →今回であれば取引先情報や、業務上で使われている様々な文言、 送付先のメールアドレス情報等を入手した、など

 

(2)【侵入】標的とした組織のセキュリティ防御を破り、侵入する
 →今回であれば「人」の脆弱性を突き攻撃を仕掛けた

 

(3)【横断】侵入した組織内部への侵入を広げ、目的とする情報に近づいていく
 →今回であればパソコン6台、サーバ2台を乗っ取った。端末を1台乗っ取れれば、ネットワーク上の同一端末を乗っ取るのは比較的容易

 

(4)【活動】盗み取りたい情報を遠隔操作で搾取し、足跡を消去する
 →今回であれば、目的としてた顧客情報793万件。

 

今回は、誰もが知っている日本最大の旅行会社の被害であり、 かつ情報流出量が膨大であったため 大々的に事件としてクローズアップされました。

 

もし、中小企業の経営者や情報システムの面倒を見ている方がこの事件を見て

 

「大企業が狙われた事件でしょ?うちには関係ないよね」

 

等と他人事のように思っているのであれば、その考えは改めなくていけません。

 

何故なら、このようにニュースには、知名度が高く、 話題に上りやすい大企業がクローズアップされがちである、 という特徴があるためです。

 

「スピアフィッシング」という標的型攻撃では、
とくに中小企業にターゲット層を広げていることが
明らかになっています。

 

しかも、中小企業では、サイバー攻撃に対する監視や可視化等が 行われていないことが多く、実際に被害に遭遇しているにも
関わらず「気付いていない」だけである、というケースが往々にしてあるものです。

 

日本年金機構の情報漏えい事件にせよ、JTBの情報漏えい事件にせよ、 外部からの攻撃状況が監視・可視化されていました。
そのため、「パソコンが乗っ取られて重要情報が盗み取られていた」と いう事実に気づくことができたのです。

 

攻撃の可視化が行われていなかったり、うちには関係ない、
と他人事のように思っている場合は
既に攻撃者からパソコンが乗っ取られており、
毎日のように機密情報や重要情報が吸い上げられているかもしれない、
という事実に気づかなくてはいけません。


 

コラム執筆者のプロフィール

船井総合研究所 チームリーダー シニア経営コンサルタント
那須 慎二
国立苫小牧工業高等専門学校(現・独立行政法人国立高等専門学校機構)情報工学科卒業。メーカー系システム開発ベンダ、国内大手情報機器販売会社を経て船井総合研究所に入社。
 
前職ではカスタマエンジニア、システムエンジニアを経験。エンジニア特性を活かしたビジネスモデルを企画、開発に携わる。「エンジニアを活用した売上アップ」をテーマにしたコンサルティング活動に従事。
無料メルマガ登録はこちら

CONTACT

株式会社船井総合研究所
ITビジネスコンサルティングチーム

  • 〒100-0005
    東京都千代田区丸の内1-6-6
    日本生命丸の内ビル21階

  • 0120-958-270【受付時間】平日9:00~18:00
    お問い合わせの際は「デジタルマーケティング
    のサイトを見て」とお伝えください。
フォームからのお問い合わせ