15日 6月 2016

JTBから個人情報流出

 JTBが標的型攻撃で狙われ700万件以上の個人情報が流出するというニュースがありました。

 

 旅行業界最大手のJTBだけにスタッフ教育はきちんとしていたようですが、

 

**********************************************************************************

送り主不明のメールは開封しないという規定はあったが、取引先を装っており、文面も不自然でなかったため、「(開封は)やむを得なかった事情がある」(JTB)とみている。
**********************************************************************************

 

 と発表されているように、スタッフの注意力を上回る「なりすましメール」が送られて来たら仕方ないのかもしれません。

 

 

 少し前から言われている「入口対策」の限界かもしれませんね。

 

 どれだけ高度なファイアウォールやマルウェア対策があっても原則未知のマルウェア(ウイルス)には役に立ちません。

 未知のマルウェアを実際に動作させて検証するサンドボックスと呼ばれる機能もありますが、膨大な量の添付ファイル全てに適用できるかは不明です。

 

 今回はPDFを開いたことで感染したようですが、PDF閲覧ソフトの更新はきちんと行っていたか?、それでも感染したのならいわゆる「ゼロデイ攻撃」に値するもので、対策は、特に「入口対策」としては非常に難しいというか、無いのかもしれません。

 

 

 今回はネットワークを監視しているセキュリティ会社が不正な通信を検知しました。

 ただし、その後ネットワークの停止に5日間ほどかかってしまい、不正な通信検知後に情報が流出しています。

 これが残念なことです。

 

 

 セキュリティ対策は必要だが、ビジネスは止められないという典型的な例かもしれません。

 

 極論を言えば、700万人以上の個人情報(氏名、住所、電話番号、生年月日)が流出しても、JTBにはそんなに被害は無いのかもしれません。

 確かに、信用が落ちたり、お詫びのサービスなどをすることにより実害は出るでしょうが、セキュリティは目に見えないものだけに起こってもいないことでシステムを止めるという発想がないんだと思います。

 セキュリティ担当者にはあるかもしれませんが、営業担当の方が強いでしょうし、システムが止まっていると顧客が怒るでしょうからね。

 

 

 今後は「出口対策」が必要だという意見が多くなってくるかもしれません。

 

 C&Cサーバとの通信を検知し制御する機能を備えた「レッドソックス」というオランダの会社の製品があります。

 30分に1回定義ファイルを更新する(通常は1日に1~2回)ことでリアルタイムに情報漏えいを防ぐことができるそうです。

 しかし数百万円するので、中小企業では手が出せません。

 

 年金事務所のときの個人情報流出事件はこの製品で防げたそうですが、今回も防げたかどうかはもっと詳しく解析してみないと分からないでしょう。

 

 

 中小企業は標的型攻撃に狙われないという方も大勢いらっしゃいますが、正しくもあり、間違いでもあると思います。

 

 確かに1社だけを標的にした攻撃を受ける可能性は非常に低いと思いますが、日本の1企業という理由で日本全体を標的にした攻撃を受ける可能性はあります。

 

 特に弁護士、税理士など個人情報を扱う業種は、業界全体で標的にされているかもしれません。

 個人事務所がほとんどでしょうから情報流出に気づいていないだけで、もうすでに流出しているかもしれません。

 

 また建築関係では下請け業者を狙って、そこから元請けへとマルウェアを感染させていく手法もあります。

 

 

 費用の問題もありますのですべての対策をすることは現実的ではありませんが、だからと言ってマルウェア対策ソフトも入れていませんでは社会的道義に反します。

 

 「違法ではないが、不適切な会社」だと思われてしまうかもしれませんので、最低限の対策だけはやってください。

 

 最低限の対策とは、

 1、各PCにマルウェア対策ソフトを入れる

 2、従業員にセキュリティについての教育をする

 とりあえずはこの2点です。これだけなら費用もさほどかかりません。

 形のない社員教育が特に重要ですが、おろそかにされている企業が多いと思います。

 

 予算的に余裕があれば、ログ監視ソフトの導入も効果的かもしれません。

 各PCの動作ログを収集し、新しいexeファイルが起動したり、業務外の時間帯に動作したり、サーバにアクセスしたりする動作を検知するとアラートを出すことができます。

 通常はサーバ込みで100万円~のソフトですが、当社では20万円~でサービスを提供しています。

 

 100名までの中小企業ではこれくらいで十分というか、これ以上費用は掛けられないのではないかと思います。

 

 以前からも何度か触れていますが、UTM(統合脅威管理)はほとんど役に立ちません。

 安いものでは月額7000円程度であるようですが・・・。

 これからhttpsが主流になっていけば今のUTMでは性能的にどんどん意味がなくなっていきます。

 あまりお薦めはできません。

 

 

 もっと詳しい話、具体的な話はセミナー等でやりますので、お気軽にお問い合わせください。

カテゴリ: 情報セキュリティ