JTB、不正アクセスで個人情報漏洩!?約793万人分

本当に世の中巧妙になったと言いますか…。
セキュリティーに関してはいつまで経ってもイタチごっこが続いてしまいますね。

でも、
今回のJTBさんの個人情報流出の可能性ですが、
なんとメールの添付ファイルを開いたことによりウイルスに感染したという初歩的なことでもあります。

企業のメールソフト（メーラー）がどのようになっているのかまでの詳細は、伺い知ることは出来ませんがスパム対策やメールのヘッダー情報などから迷惑メールやスパム扱いとして振り分けされるソフトは導入されていないのでしょうかね…。

以前にもメールのヘッダー情報などに関して記事にもしましたが、
13年以上前くらいにYahoo!が500万件くらいの個人情報が流出したことにより、謝罪として500円の郵便小為替を送付するということを行いました。
1. 実際に郵便小為替を現金に換金できた人がどの程度いたのかは公表されていません。
2. まだ、個人情報保護法が施行される前でしたね。（翌年の2005年から施されたと記憶しています。）
そして、よく言われるのが悪用された実績や形跡はないという発表…。
1. その他、経緯などについて以下のようにリリースされています。
流出してしまった個人情報はどこかのサーバーなどに送信されてしまっている訳で、現段階でそのような悪用された実績や形跡がなくてても今後どうなるのかわからないと思われるのですが…。
1. 以下に当サイトでウイルス付き迷惑メールなどのセキュリティに関するまとめたサイトがあります。

以前にもメールのヘッダー情報などに関して記事にもしましたが、

Facebook（フェイスブック）から迷惑メール、フィシング詐欺ウイルス付きでなく…。

今月に入ってから迷惑メール（スパムメール）は来ているものの、ウイルス付き迷惑メールやフィッシング詐欺メールなどが来ていませんでした。しかし…。今度はウイルス.....

メールには、より詳細な情報を確認することが可能な情報が含まれています。以下のように「詳細ヘッダー」を確認することで、IPアドレスなどが記載されているので、ももう少し詳しく調べる事が可能です。
Facebook（フェイスブック）から迷惑メール、フィシング詐欺ウイルス付きでなく…。 | さまざまちょっと

後で確認するとは…。

アドレスは間違いなく、実在する航空会社のもの。しかし、事案の発覚後、メールの詳細が記されている「ヘッダー」を確認すると、実際はレンタルサーバーから送られてきたものとわかった。アドレスは、偽造されていた。
【情報流出】あなたは見抜けるか　JTB がはまった「巧妙なメール」の罠とは（BuzzFeed Japan） – Yahoo!ニュース

と書いてあります。

また、メールの件名などの詳細も公表されています。（以下のように。）

件名は「航空券控え　添付のご連絡」。
メールアドレスは、「ごくごく普通のありがちな日本人の苗字@実在する国内航空会社のドメイン」だった。

このような事は受信する時点で自動的に確認するようなセキュリティーソフトなどを導入されていないのでしょうかね…。

大手企業であれば、そのくらいのコストは個人情報が外部に流出したからの対策に関わる余計なコストよりは大幅に少ないのではないかと推測されるのですが…。

13年以上前くらいにYahoo!が500万件くらいの個人情報が流出したことにより、謝罪として500円の郵便小為替を送付するということを行いました。

（正確には451万7039件：過去記事より確認しました。）

これだけでも、
500×5000000=2500000000円
25億円もの個人情報流出後に関してコストとしてかかってしまった訳です。

まぁ、
+郵送代もかかるのでもっとでしょう。

ただ、
この郵便小為替というのが肝で、すべての人が平日の郵便小為替が現金に換金できる時間帯に郵便局に行けたのか？という疑問符は付いてしまいますが…。

まぁ、そこを見抜いての個人情報漏洩に関する謝罪対策だったのでしょう。

実際に郵便小為替を現金に換金できた人がどの程度いたのかは公表されていません。

（当時、私は郵便小為替が送られてきたので現金に換金しました。たったの500円でしたが…。）

あちゃー、私の個人情報も流出してしまったのかぁ(・_・;…。
とは思いましたが。

まだ、個人情報保護法が施行される前でしたね。（翌年の2005年から施されたと記憶しています。）

確認したところ2003年公布で2005年施行であっていました。（以下参照。）

平成15年５月に公布され、平成17年４月に全面施行されました。
個人情報保護法とは

そして、よく言われるのが悪用された実績や形跡はないという発表…。

インターネット販売を主とする「i.JTB」社（アイドットジェイティービー）のサーバーが、外部からの不正アクセスを受けたとのこと。現時点で、明確な流出の確認、悪用被害などの報告はないとのこと。　3月15日に、取引先を装ったメールの添付ファイルを開いたことにより、ウイルスに感染。
JTB、不正アクセスで約793万人分の個人情報が漏えいの可能性 | RBB TODAY

この発表や公表をするに当たってどうやって悪用された実績や形跡がないと確認し判断しているのか疑問符が付いてしまいます。

その他、経緯などについて以下のようにリリースされています。

１．経緯
　（１）3月15日（火）、取引先を装ったメールの添付ファイルを開いたことにより、i.JTBのパソコンがウイルスに感染しました。この時点ではウイルスに感染したことに気がつきませんでした。
　（２）3月19日（土）～24日（木）、i.JTB内の本来個人情報を保有していないサーバーにおいて、内部から外部への不審な通信が複数確認されました。
　（３）不審な通信を特定し遮断すると共に、ネットワーク内の全てのサーバー、パソコンの調査を行いました。その結果、サーバー内に「外部からの不正侵入者が3月21日（月・祝）に作成して削除したデータファイル」の存在を、4月1日（金）に確認しました。
　（４）外部のセキュリティ専門会社と共同で、ウイルスを駆除するとともに、データファイルの復元と不正なアクセスの調査・分析・対応を継続して行いました。
　（５）5月13日（金）、復元したデータファイルに個人情報が含まれることが確認され個人情報流出の可能性があることが判明いたしました。それを受け、ジェイティービー（グループ本社）内に「事故対策本部」を設置いたしました。
　（６）直ちに、データの正規化に着手し、今般、復元したデータファイルに約793万人分の個人情報が含まれていたことが判明いたしました。
　（７）本件については警察に相談をしております。
不正アクセスによる個人情報流出の可能性について

以下、該当ページの一部スクリーンショット（スクショ）です。