【考察】JTBの情報漏えい事件に見る、標的型攻撃の被害について

今更ですが、振り返ってみます。
世間の報道をベースに、分析をしております。
情報システム部、セキュリティ担当者、SIer業界の方、IT企業志望の学生さんは是非ご参考あれ。

賠償とかどうなるの?

仕事柄、触れる機会の多かったこの事件

世間では少し落ち着いた感がありますが、これからは責任の追及や損害賠償などの後処理が行われるものと思われます。
以前教育業界大手のベネッセの事件では、 Amazonの500円商品券が配布され、議論が巻き起こりました。

こういった形のマス対応が行われる可能性は否定できません。
今回はパスポートの情報も漏えいしたのが結構大きいです。
その後、事故が起こった個人が賠償を求めると思うので、その対応も行われるものと思います。

ちなみにいうと、ベネッセ事件のAmazonギフト券 500円/1件という数値は極めて妥当、ってか奮発しすぎってくらいです。

2015年4月25日発売の週刊ダイヤモンドでは、1件当たりの個人データは約数円~30円程度との試算がなされてます。

例えば、同じく教育大手のECCがベネッセの流出データを基にした名簿リストを購入した件。

7万5000人の高校生のデータを約60万円で購入しています。
つまり、1件当たり約8円(!)。
(氏名、年齢、住所の情報らしいです)
希少と言われている子供の情報であっても、この程度です。

まぁ、ごめんなさい、の意も含んでるので、市場価格だけで判断するのも良くないですが、、、
十分な額だ、とは言えますね。

どんな経路で感染したの?

話が逸れましたが、それでは本題。
事故の概要はこちらにまとめられている方がいらっしゃいますので、ご参考に。

以下、簡単に解説。

感染したのは3/15。
その4日後に不正通信が始まり、3/21には情報の持出しが行われています。
監視会社は通信パケットの解析から異常を3/19に検知しています。
(※かなり早いです)

感染から情報持ち出しの間に、サーバ2台、PC6台に感染拡大しています。

ちなみに、利用されたマルウェアは、以下の2つであると報道がされています。
・「ELIRKS」が外部との通信を、サーバを乗っ取って行う。
・「PlugX(亜種)」が拡散や情報取集。

この2種類に対し、絶対に有効と言い切れるソフトウェア等は無い、というのが現状です。
以前紹介した対策ソフトや、Palo Altoなどの監視・検知ツールがせめてもの対策です。

責任は誰にあるの?

私は、情報システム部門と経営者で50%50%ぐらいの責任があるのではないか、と見ています。

3/19に異常を検知してから、ネットワークの切り離しまで3/25までかかってしまっていることが、本事件のポイントです。
早期に切り離しを行なっていれば、被害防止に間に合った可能性もあります。

ここの対応スピード不足への責任が、情報システム部門と経営者で半分半分、ということです。

まず、情報システム部門から。
攻撃に対する準備不足は否めません。
というのは、感染したこと自体ではなく、感染後のエスカレーション(組織上部への報告)に関してです。

3/19〜25という、全体の対応スケジュールから考えれば、異常検知から2日ほどエスカレーションに時間がかかっていると考えられます。
これは明らかに遅いです。
緊急時の社内体制、いわゆるセキュリティポリシの策定が甘いと見ていいでしょう。
セキュリティポリシの策定は、情報システム部門が責任を持つべきです。

そして経営者。
最終判断のミス、リスクの理解度の低さがあるのでは、と考えます。

攻撃を受けた日程のうち、3/19~21は、世間で言う3連休です。
(当然、攻撃者はあえてこの繁忙期を狙ったんでしょう)
このクソ忙しい時に、業務をインターネットから切り離したり、一時停止させるというのには、まさにトップレベルの経営判断が必要です。

超単純計算ですが1日業務を止めるだけで、JTBの場合、約56億円の損失が出てしまいます。

1兆3437億円(JTBグループ年間売上)÷240日(概算営業日数)=55.9億円

難しい判断ではありますが、スケジュール感的に、ここの判断を下すためにごちゃごちゃ会議をした可能性があります。

そんなことをしている間に、情報は盗まれてしまいます。
結果的に、793万件もの流出を許してしまったわけです。
これは経営者の責任です。トップダウンで、素早い判断が必要だったわけです。

(経営者が責任をとって判断が可能な情報が上がっていたのか、という問題はありますが)
 

ということで、、、

情報漏えいって、怖いですね。
怖い時代になっちゃいました。

本当は、個人情報には、大して価値はありません。
(別に、個人のお金をバンバン引き落とせたりするわけではないからです)
情報漏えいは、経済的価値以上に、社会的制裁の方が圧倒的に大きいと言われています。

その社会的制裁への対策、つまり”絶対に企業ブランドを守る”ことにどこまでお金と時間をかけるのか、という話になります。

ちなみに、JTBは体制強化を7月に行います。
さすがにそれなりの投資をして作り上げるものだと思うので、今後のニュースを見て、勉強してみるのもいいかもしれませんね。

以上、駄文失礼しました。

コメントを残す

メールアドレスが公開されることはありません。