旅行商品をオンラインで販売するi.JTBで外部からの不正アクセスで個人情報の一部が流出した可能性があることが確認された。グループ会社のJTBが6月14日に発表した。JTBによると、個人情報が悪用されたとの報告は受けてないとしている。
流出した可能性がある個人情報は793万人分。流出した可能性がある個人情報は、氏名と性別、メールアドレス、住所、郵便番号、電話番号、パスポートの番号と取得日。クレジットカード番号や銀行口座、旅行の予約内容は含まれていないと説明している。
対象となるのは、JTBのウェブサイトのほか「るるぶトラベル」「JAPANiCAN」のオンラインで予約した顧客、JTBグループ内外のオンライン販売提携先でJTB商品を予約した顧客としている。ネットで予約した後に店舗で支払った顧客も対象となっている。
対象外となるのは、高速バス、現地観光プラン、レジャーチケット、定期観光バス、レストラン、海外航空券、海外ホテル、海外現地オプショナルツアー、「JTB旅物語」。JTBの店舗や提携販売店、JTB旅物語販売センターで予約した顧客も対象外としている。
JTBが確認した事実と対応は以下の通りと説明している。
- 3月15日に取引先を装ったメールの添付ファイルを開いたことでi.JTBのクライアントPCが感染。この段階では、感染に気付いていなかった
- 3月19~24日にi.JTB内に本来個人情報をを保有していないサーバに内部から外部への不審な通信を複数確認
- 不審な通信を特定、遮断してネットワーク内のすべてのサーバとクライアントPCを調査。サーバ内に“外部からの不正侵入者”が3月21日に作成して削除したデータファイルの存在を4月1日に確認
- 外部のセキュリティ専門企業と共同でマルウェアを駆除。データファイルの復元と不正アクセスを調査、分析、対応を継続
- 5月13日に復元したデータファイルに個人情報が含まれることを確認し、個人情報の可能性があることが判明。JTB内に事故対策本部を設置
- データの正規化に着手し、復元したデータファイルに793万人分の個人情報が含まれていることが判明。すでに警察と対応を相談している
対象となる顧客には、メールで順次連絡している。特設の窓口を設けている。電話番号は0120-589-272。
JTBグループは、特定された外部への不審な通信の遮断、感染範囲の特定とマルウェアの駆除、個人情報へのアクセス強化をすでに完了させていると説明。今後グループ全体として、JTB内にITセキュリティ専任統括部門を設置して外部のセキュリティ会社と連携を進める。また、グループのセキュリティ教育は、実践的なサイバー攻撃の演習で察知できるようにすることを明らかにしている。