2016年8月24日

お客様各位

株式会社ジェイティービー

不正アクセスによる個人情報流出の可能性について
―現状報告と再発防止策―

 株式会社ジェイティービー(以下当社)のインターネット販売を主とするグループ会社である株式会社 i.JTB(アイドットジェイティービー)(以下i.JTB)のサーバに、外部からの不正アクセスが発生いたしました。これにより当社グループの3つのWebサイト(提携先サイト経由を含む)で旅行のご予約をいただいたお客様の個人情報が外部に流出した可能性が生じております。

 お客様および関係者の皆様には多大なるご迷惑、ご心配をおかけしましたこと、あらためて深くお詫び申し上げます。

 当社は、監視体制を継続し、流出の事実が確認された場合は速やかに公表させていただく体制を取るとともに、本事案の教訓を踏まえ、お客様に安心してご利用いただけるよう、一層の情報セキュリティ強化に取り組んでまいります。

 現在の状況、および再発防止策についてご報告申し上げます。

概要

 2016年3月、当社のインターネットを活用して旅行商品の販売を行っているi.JTBのオペレーター端末において、取引先になりすました不正なメールの添付ファイルを開いたことにより、パソコンがマルウェア(*1)に感染しました。その後、外部からの遠隔操作により感染が拡大し、個人情報のあるサーバへ攻撃者が侵入する事象が発生しました。これらから、当社では、外部からの標的型攻撃(*2)を受けたと判断いたしました。
 システムの監視業務を委託している会社(以下セキュリティ監視会社)、システムセキュリティ対策を行う株式会社JTB情報システム(以下JSS)による対応措置と解析作業により、当該サーバに攻撃者が作成したと推測される複数のCSVファイル(*3)が作成、削除された痕跡があること、当該サーバに作成されたCSVファイルの元データは、販売実績を管理する別のサーバにあるデータであることが判明し、当社は、個人情報の流出の可能性が否定できないと判断いたしました。

不正アクセスの対象となったサイト

 対象となるWebサイトおよび流出の可能性のある情報は以下の通りです。

対象Webサイト
および
対象となるお客様
  1. @JTBホームページ、るるぶトラベル、JAPANiCAN、JTBグループ内外のオンライン販売提携サイト経由でオンライン予約をされたお客様
  2. Aオンラインでご予約後、店舗でご精算のお客様

(以下、対象とならないお客様)

  1. @のケース
  2.   JTB旅物語、高速バス、現地観光プラン、レジャーチケット、
  3.   定期観光バス、レストラン、海外ダイナミックパッケージ、
  4.   海外航空券、海外ホテル、海外現地オプショナルツアー、
  5.   その他旅行関連商品(保険、積立等)をご予約されたお客様
  6. Aのケース
  7.   JTB店舗、提携販売店店舗、JTB旅物語販売センターで
  8.   ご予約のお客様
データ対象期間 2008年9月28日〜2016年3月21日午前1時32分までの
オンライン予約分
個人情報項目 氏名(漢字、カタカナ、ローマ字)、性別、生年月日、
メールアドレス、住所、郵便番号、電話番号、パスポート番号、
パスポート取得日
上記の一部または全部
個人情報の人数 6,788,443名
(2016年6月14日の最初の発表で約793万名とご報告しましたが、
名寄せの結果、同6月24日に修正値を公表しました)
パスポート番号の件数 約4,300件(現在有効なもの)

お客様へのご案内状況

    1.ご案内メールの送信
    個人情報が一部流出した可能性があることが判明したお客様には、ご登録メールアドレス宛てに順次ご連絡を申し上げました。個人でご利用いただいたお客様には6月24日までに、お取引先企業のお客様には8月2日までに、ご連絡を終了いたしました。

    2.お客様特設窓口によるお問合せ対応
    本事案に関するお客様専用のコールセンターを設置し、これまでに約35,000件のご意見、お問合せを頂戴いたしました。「不審なメールや身に覚えのないダイレクトメールが届くようになった。今回のことが原因ではないのか」等のご指摘もいただきました。

    3.不審メール等への対応
    お客様特設窓口へ7月末日までにご提供いただいた、1,660件の不審な「メール」「電話」「ダイレクトメール」についての発信者情報を、専門機関を交えて検証いたしました。
    現在までに、ご提供いただいた発信者情報間に、相互の関連性を認められる事象は確認されておりません。

 6月14日以降、本事案を原因とする流出情報の明確な痕跡は確認されておりません。また、本事案と因果関係が推定される、個人情報の不正使用等については、現在までに確認されておりません。
 今後、本事案との関連が明らかとなった不正使用が発覚した場合には適正に対処いたします。 また、新たな事実が確認された場合は、ホームページで公表をさせていただきます。

【お客様お問合せ窓口】
専用フリーダイヤル:
受付時間 : 平日 10:00 〜 18:00 
(但し、12/30〜1/3は休業)

再発防止策等

 当社が実施した体制の整備・強化、システムセキュリティ強化、システム運用管理の強化等につきましては、観光庁主催の有識者会議により、「標的型攻撃に対する当面とるべきシステム上の対策及び体制整備を行っている」ことを確認いただきました。

 当社は、社内検証及び調査・評価を依頼した外部の専門家からの指摘を踏まえ、以下の再発防止策に取り組んでおります。また、標的型攻撃以外の想定されるセキュリティ・インシデント(*4)に対する防御策についても、引き続き取組強化をしているところです。

1.情報セキュリティ体制の強化
  1. (1)CISO(Chief Information Security Officer:最高情報セキュリティ責任者)を新たに任命しました。(7月1日当社専務取締役が就任)
  2. (2)社長直轄のITセキュリティ対策専門部署として「ITセキュリティ対策室」を設置し、本事案の再発防止計画の立案、実行を含む、当社及びグループ各社におけるITセキュリティ対策を実施する体制としました。
  3. (3)これまでJSSに置いていたCSIRT(Computer Security Incidents Response Team:情報セキュリティ・インシデント対応チーム)機能を、当社社長直属の「ITセキュリティ対策室」に移管し、グループ会社の事案についても本社が経営の危機管理の観点から対応する体制としました。(7月1日設置)
  4. (4)「ITセキュリティ対策室」と、システム関連部署、グループ各社との間における、ITセキュリティ事案発生時に備えた対応体制の構築、報告手順を策定しました。
  5. (5)外部のセキュリティ監視会社の契約を、通信の監視から、危機対応を含む全般的なコンサルタント契約へ変更し、外部からの支援体制を強化します。

2.システムのセキュリティ強化
 抑止・防御、検知、被害極小化、復旧の各局面において、対策を強化します。
(1)抑止策・防御策
・脆弱性(*5)管理・脆弱性診断の機能の構築
・外部に公開しているWebサイトに対するセキュリティ診断の実施
・マルウェア防御機能の導入
・業務用パソコンのインターネットアクセス、メールサーバからの物理的分離、インターネットへのアクセス可能な環境の限定
・内部ネットワークから外部へのアクセス制御の強化
・個人情報を保有するデータベースに対するアクセス監査・制御する機能の構築と運用確立
・インターネットの全接続箇所におけるセキュリティ監視機能の実装と運用
(2)検知策
・インターネット接続箇所における不正アクセス監視の強化
・各サーバ類に対するアクセスログ取得機能の構築と運用の確立
(3)被害極小化策
・グループ全体のネットワーク構成管理機能の構築と運用の確立
・リスクの評価、課題抽出と追加対策の実施
・マルウェア対策機能の構築
・再発防止策で実装する機能、及び既存の対策機能に関連する各種ログを集約し、分析可能な環境を構築
・異常事象の検出と緊急対応、事象発生時の調査を行う体制を構築
(4)復旧策
・本事案により問題が発生した業務用パソコン、サーバの初期化・再構築の実施
・ITセキュリティ事故発生後の、正常稼動までの復旧手順の整備

3.教育
 グループ各社に対して、本事案に関する注意事項を中心とした、実践型教育を実施します。

以  上

【用語】
*1 マルウェア
不正かつ有害な動作を行う意図で作成された悪意のあるソフトウェアや悪質なコードの総称
*2 標的型攻撃
特定企業・特定組織を攻撃対象(標的)とするサイバー攻撃
*3 CSVファイル
値をカンマ(,)で区切って書いたテキストファイル
*4 セキュリティ・インシデント
コンピューターやネットワークのセキュリティを脅かす事象
*5 脆弱性
第三者によってシステムへの侵入や乗っ取りといった不正な行為が行われる際に利用される可能性がある、システムの欠陥や問題点

copyright (c)JTB Corp. all rights reserved.