初心者でも気軽にWordPressサイト作成！ して大丈夫なの？：セキュリティクラスタ まとめのまとめ 2016年6月版（1/3 ページ）

2016年6月のセキュリティクラスタでは、JTBや佐賀県の不正アクセス事件が大きな話題を呼ぶとともに、初心者が自前でWordPressサイトを立てることの是非が議論されたのでした。

[山本洋介山（エヌ・ティ・ティ・コミュニケーションズ），＠IT]

連載目次

　2016年6月は、JTBのグループ会社が攻撃を受け、最終的に約679万人分の個人情報が流出した可能性があるとして大きな話題になりました。他に、「ViVi」の通販サイトなどからの情報流出も発生しています。

　6月初旬には、佐賀県の17歳少年が衛星放送を無料で視聴できるプログラムを公開したことで逮捕されましたが、その後同少年が佐賀県の教育システムに侵入し、個人情報や成績表を盗み出していたことも明らかになっています。少年の手口とともに、佐賀県のシステム運用の実態が議論の的になりました。

　また、初心者がセキュリティを考慮せずにAWS上にWordPressを公開することについても、活発に議論が交わされました。

JTBが標的型攻撃を受け、679万人の個人情報が流出した可能性

　2016年6月14日には、大手旅行会社のJTBから793万件（後に重複分を除く679万件に訂正）もの個人情報が流出した可能性があるとする発表がありました。発表では「流出の事実は確認されていないが、流出した可能性がある」という言い方がされていましたが、“限りなく黒に近いが、証拠が残っていない”というのが実態のようです。

　この事件は、最近鳴りを潜めていた標的型攻撃によるものでした。具体的には、2016年3月15日に届いた「航空券控え　添付のご連絡」という標題の顧客を装ったメールに添付された「eチケット控え」というファイルをオペレーターが開いたことで、コンピュータが「PlugX」というマルウェアに感染してしまったとのことです。

　この発表に対しては、「どうして3月の事件を公表するのに今までかかったのか」という批判があった一方で、「大企業でこの期間で公表するのはがんばっている方だ」と評価する声もありました。

　JTBは標的型攻撃に対する訓練も行っていたようですが、本物の業務メールと見まがうような巧妙な標的型攻撃メールに対しては、訓練の成果は上がらなかったようです。

　また、「高度な標的型攻撃に引っ掛かるのは仕方がない。引っ掛かった後こそが大事だ」とする意見や、「メールの開封率にフォーカスした標的型攻撃訓練にはあまり意味がないので、流行しないでほしい」という意見、あるいは「この件を受けて標的型攻撃対策に関わる営業の人たちが動き出すに違いない」といったツイートがありました。

　なお、筆者も「個人情報流出の可能性がある」旨のメールをJTBから受け取りましたが、残念なことにこのメールの送信元メールアドレスは既に公にされており、フィッシング詐欺などに悪用される危険性を指摘する声が出ていました。そのため、本物のメールを「フィッシングではないか」と疑うツイートもありました。

　さらに6月には、パイプドビッツのECサイトプラットフォームが攻撃され、雑誌「ViVi」の公式通販サイトからも1万人以上の個人情報が流出しています。この件については、特に「WebDAV（Web-based Distributed Authoring and Versioning）サーバの設定不備を突かれてバックドアを埋め込まれる」という手法や、「HTTPの『PUT』メソッドを許可しているのは脆弱（ぜいじゃく）性なのか」といった点が議論の種となっていました。