JTB不正アクセス事件から何を学びとれるのか？：セキュリティのアレ（28）（1/2 ページ）

セキュリティ専門家が時事ネタを語る本連載。第28回では、「JTBへの不正アクセス事件」を取り上げ、そこから学びとれるポイントを解説します。

[根岸征史（インターネット イニシアティブ）, 辻 伸弘（ソフトバンク・テクノロジー株式会社），＠IT]

この連載に関するご意見・ご感想・ご質問などはこちらまで！
Twitterハッシュタグ：#セキュリティのアレ

自組織の備えを見直そう

　セキュリティ専門家が、時事ネタなどを分かりやすく解説する動画連載「セキュリティのアレ」。今回は、「JTB不正アクセス事件」を取り上げ、自分たちの組織で必要なセキュリティ対策のポイントを読み解きます。

本編（テキスト）

宮田　約1カ月ぶりとなる「セキュリティのアレ」。今回は「時事ネタ編」です。やはりJTBの件は、触れざるを得ません。JTBのグループ会社であるi.JTBが不正アクセスを受け、約679万件の個人情報が流出した疑いがあるとされています。その中には、有効なパスポートの情報も数千件含まれていたとのことで、大きな話題になりました。

辻氏　こういう事件でパスポート番号が含まれるケースはあまりないので、それも注目を集めた要因だったかもしれませんね。

根岸氏　2015年の日本年金機構以来、1年ぶりの大きな事件でした。

宮田　本件については、JTBから報告（関連リンク）がなされていますが、現時点ではまだ詳細は明らかになっていません。今回は、この件に関するお2人の意見をうかがいたいと思います。

根岸氏　これまでも、標的型攻撃についてはいろいろと言ってきましたが、再び事件が起きてしまったということで、「またか」という印象です。一番気になったのは、報道に出ていた「2年間にわたり、月2回のメール訓練を実施していた」という情報ですね。これだけの頻度で訓練をしていたというのはすごいことだと思います。

辻氏　月に2回というのはすごいですよね。「専門部隊でも存在するのか？」と思ってしまうほどです。

根岸氏　一方で、「訓練していたのに……」というトーンの反応が多いことには、少し疑問を感じます。具体的に、どのような内容の訓練が行われていたのか、気になるところです。本連載の第7回でも、望ましい訓練の在り方について話をしました。

辻氏　メール訓練については、根岸さんも私も、ここ5年ほど言い続けていますね。2011年の＠IT記事「攻撃はまるでレーザービーム」でも触れました。

根岸氏　私も2011年に、自分のブログで記事を公開しています（関連リンク）。私たちがずっと言っているのは、怪しいメールに気付くのは大切だが、「何人が開いた／開かなかったという開封率にばかりフォーカスしてしまうこと」や、「開かなかった人は偉い、開いた人はダメ」と考えてしまうのは良くないよね、ということです。

辻氏　そうですね。私は、メール訓練ももちろん気になったのですが、記者会見にも注目すべき点があったと思っています。記者会見を見ていて、2015年の日本年金機構などへの一連の攻撃以来で「変わったな」と感じる点がありました。具体的には、前回は「メールを開いた奴はとんでもない。処分する」ということが公に言われ、世の中としても「何で開くかなあ」という雰囲気がありました。

　ところが、今回の記者会見では「きれいな日本語で、業務に関係するような内容のメールが届いた。訓練はしていたが、これは開いてしまう可能性が大いにある」という趣旨の発言がありました。これには良い印象を持ちました。私たちが言ってきたように、世の中が「メールを開いた人を責めるのは良くない」という流れになってきたのだとしたらうれしく思います。

根岸氏　今回は、公開されているメールアドレス宛てに業者を装ったメールが届き、それを処理するオペレーターの方が、たまたま気付かずに開いてしまったというケースでした。もしかすると開いていたのは別のオペレーターの人だったかもしれません。それは分かりませんよね。

辻氏　結局、開いた人も開かなかった人も、どちらもたまたまだと思うんです。「仕事が忙しくてメールを見ている暇がない」というだけで偶然開くのを避けられる可能性だってあるわけです。

根岸氏　その通りですね。訓練で大切なのもまさにその点だと思います。繰り返し実施してユーザー側の意識を高めるのは大事ですが、「誰がどの回で開いたか」というのは、フォーカスしてもあまり意味がないポイントだと考えています。たまたま開いてしまうときもあれば、開かないときもありますし、私たちだって絶対に開かないとは言い切れません。そういう意味では、今回の記者会見でそういう発言があったのは良かったですね。

辻氏　それから、今回メールが届いたような公開アドレスは、“代表アドレス”ですよね。こういうアドレスは大抵の場合、送られたメールが複数人宛てに届くメーリングリストのような形になっていると思います。従って、攻撃者が送ったメールが1通だったとしても、受け取ったのは1人ではなかったのではないか、と考えています。

根岸氏　そこは私も気になっている点です。複数人にメールが届いていたとして、他の人は気付かなかったのか、あるいは気付いたが何もしなかったのか、といったところですね。

辻氏　これまで何度かメール訓練について話してきた中でも、「開いた／開かなかった」ではなく、「開かなかったが、怪しいメールに気付いたときに、しかるべきところに報告できたかどうか」を考えることが大切だと言ってきました。今回は、そのあたりがどうだったのか。

根岸氏　感染した人が気付けなかったとしても、感染しなかった人が気付けば、早期に対応できた可能性がありますからね。メール訓練も、そういう部分にフォーカスするようにすれば、より実のあるものになるでしょう。「開いた後の対応」や、「開かなかったとしても、気付いた後に適切なエスカレーションができたかどうか」「エスカレーションされた部署が適切に対応できたか」といったところを強化できれば、より良くなると思います。

辻氏　そういうアクションに慣れておくために訓練を行うというのであれば、有意義だと思いますね。訓練は、メールを受け取る人だけのものではなく、報告を受ける人なども含めた組織全体の問題だということです。

根岸氏　開いた／開かないにフォーカスする方が、訓練サービスを受ける側も提供する側もやりやすいとは思うのですが、その先までできるようになれば、もっと良いなと思いますね。

辻氏　そうですね。ただ、先ほども言いましたが、状況は少しずつ良くなってきてはいるとは思います。