TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究のログ

JTB (まとめ)

【概要】

■事件概要

  • 03/15、JTBのパソコンに取引先を装ったメールが届き、添付ファイルを開いたことにより、JTBのパソコンがマルウェアに感染(標的型攻撃)
  • 03/19、社内のサーバーが海外と不審な通信をしていることが判明
  • 03/25、不審な通信を特定し通信を遮断
  • 04/01、3/21に作成して削除されていた「データファイル」の存在を確認
  • 05/13、JTBは、復元したデータファイルに個人情報が含まれていることを確認
  • 06/14。事件の概要を公表


■攻撃方法

  • 標的型攻撃(メールを使用した攻撃)
  • ANAからのメールを装う
  • 2種類のマルウェア(PlugX と ELIRKS)を使用
  • 通信先は香港のC&Cサーバ
  • JTB子会社のパソコン計6台、サーバー3台以上が感染 (当初はサーバ2台と発表)


■被害

  • 約679万人の個人情報が流出 (当初は約793万人と発表)
  • 上記には「dトラベル」の約33万人分が含まれる
  • 流出した情報の悪用が疑われる報告が数百件寄せられている


エスカレーション

  • 04/01 情報セキュリティー会社が、遠隔操作された可能性を指摘(⇒IT部門担当者)
  • 05/16 担当者からIT担当役員に報告
  • 05/17 IT担当役員から社長に報告


■関連サービスでの被害状況

◇dトラベル

  • 06/02 「dトラベル」の個人情報についても流出の可能性がある旨をJTBより連絡あり
  • 06/10 「dトラベル」についても約33万人分が含まれているとの報告あり


■対策

  • 最高情報セキュリティ責任者を設置
  • 社長直轄の「ITセキュリティ対策室」を設置


■ビジネスへの影響

  • 熊本地震の復興支援として国が助成する旅行商品の販売を当面認めない方針(観光庁)


【関連記事】

JTB不正アクセス、793万人の個人情報流出の恐れ パスポート情報も (TT malware Log, 2016/06/14)
http://malware-log.hatenablog.com/entry/2016/06/14/183621

■「dトラベル」で個人情報流出の可能性――JTBグループ会社の不正アクセスに伴い (TT malware Log, 2016/06/14)
http://malware-log.hatenablog.com/entry/2016/06/14/000000

JTB 巧妙「標的型メール」 被害防げず 3月19日に判明 (TT malware Log, 2016/06/15)
http://malware-log.hatenablog.com/entry/2016/06/15/043847

■JTB パソコンを遠隔操作するウイルスに感染か(TT malware Log, 2016/06/15)
http://malware-log.hatenablog.com/entry/2016/06/15/044535

■JTB個人情報流出 ウイルス添付のメールは全日空からを装う (TT malware Log, 2016/06/16)
http://malware-log.hatenablog.com/entries/2016/06/16

■JTB、ネット戦略が裏目でダメージ増…ずさんな管理を露呈した個人情報流出(TT malware Log, 2016/06/16)
http://malware-log.hatenablog.com/entry/2016/06/26/175746

■PlugX (TT malware Log, 2016/06/17)
http://malware-log.hatenablog.com/entry/2016/06/16/044534

■JTB流出、香港と不審通信…中国が攻撃関係か (TT malware Log, 2016/06/18)
http://malware-log.hatenablog.com/entry/2016/06/18/075309

JTBの情報漏えいで使われたマルウェア「PlugX」とは何か? (TT malware Log, 2016/06/20)
http://malware-log.hatenablog.com/entry/2016/06/20/000000

JTBにはがっかりした、社長の謝罪会見で記者が感じた違和感(TT malware Log, 2016/06/23)
http://malware-log.hatenablog.com/entry/2016/06/23/000000_4

JTBの情報漏洩事故報告は遅すぎだ! ではいつだったら良かったのか? (TT malware Log, 2016/06/24)
http://malware-log.hatenablog.com/entry/2016/06/24/000000

■JTB流出ウイルスは中国製が濃厚 (TT malware Log, 2016/06/24)
http://malware-log.hatenablog.com/entry/2016/06/24/000000_3

■JTB狙ったサイバー攻撃 以前にも同じ手口(TT malware Log, 2016/06/24)
http://malware-log.hatenablog.com/entry/2016/06/25/062432

■JTBの対策は不十分 国助成の旅行商品販売認めず (TT malware Log, 2016/06/25)
http://malware-log.hatenablog.com/entry/2016/06/25/000000

■JTB顧客情報流出、役員把握は1か月半後(TT malware Log, 2016/06/25)
http://malware-log.hatenablog.com/entry/2016/06/25/000000_1

■JTB情報流出、感染サーバー3台以上 再発防止策など公表 (TT malware Log, 2016/06/25)
http://malware-log.hatenablog.com/entry/2016/06/25/000000_2

JTB不正アクセス問題で再び会見、情報は「客観的に見て流出」 (TT malware Log, 2016/06/26)
http://malware-log.hatenablog.com/entry/2016/06/26/000000


【ニュース】

■標的型攻撃メールの攻撃手法<

JTB不正アクセス、793万人の個人情報流出の恐れ パスポート情報も (ITmedia, 2016/06/14 18:00)
JTBが約793万人分の顧客情報が流出した恐れがあると発表。パスポートなどの情報も含まれているという
http://www.itmedia.co.jp/pcuser/articles/1511/18/news046.html

◆「dトラベル」で個人情報流出の可能性――JTBグループ会社の不正アクセスに伴い (ITmedia, 2016/06/14 17:55)
http://www.itmedia.co.jp/mobile/articles/1606/14/news142.html

◆また「標的型メール」…JTB「認識甘かった」 (読売新聞, 2016/06/14 21:17)
http://www.yomiuri.co.jp/national/20160614-OYT1T50116.html?from=yartcl_popin

◆JTB情報流出 周到な攻撃、捜査難しく (毎日新聞, 2016/06/14 21:57)
http://www.sankei.com/affairs/news/160616/afr1606160013-n1.html

◆JTB不正アクセス 狙われたネット予約 訪日客も含め「かき入れ時」に打撃 (産経新聞, 2016/06/14 23:47)
http://www.sankei.com/economy/news/160614/ecn1606140044-n1.html

JTB、約793万人分の個人情報流出の恐れ - 有効パスポート番号4,300件含む (マイナビニュース, 2016/06/14)
http://news.mynavi.jp/news/2016/06/14/351/

JTB個人情報流出か、約793万人分-7月に対策部門新設(Travel Vision, 2016/06/14)
http://www.travelvision.jp/news/detail.php?id=72996

◆ドコモ、JTBへの不正アクセスに伴う「dトラベル」の33万人の個人情報流出か (マイナビニュース, 2016/06/14)
http://news.mynavi.jp/news/2016/06/14/357/

◆ドコモ「dトラベル」顧客情報約33万人分が流出した可能性 - JTBマルウェア感染影響で (Security NEXT, 2016/06/14)
http://www.security-next.com/070970

JTB 巧妙「標的型メール」 被害防げず 3月19日に判明 (毎日新聞, 2016/06/15)
http://mainichi.jp/articles/20160615/ddm/041/040/098000c

観光庁不正アクセス問題でJTBに報告指示、24日まで (Travel Vision, 2016/06/15)
http://www.travelvision.jp/news/detail.php?id=73018

◆JTB パソコンを遠隔操作するウイルスに感染か (NHK, 2016/06/15 04:26)
http://www3.nhk.or.jp/news/html/20160615/k10010556801000.html

◆[詳報]JTBを襲った標的型攻撃< (日経コンピュータ, 2016/06/15)
http://itpro.nikkeibp.co.jp/atcl/column/14/346926/061500549/?ST=system

◆JTB顧客情報流出、2種類のウイルス使用 (読売新聞, 2016/06/15 16:50)
http://www.yomiuri.co.jp/national/20160615-OYT1T50109.html

◆JTB個人情報流出 ウイルス添付のメールは全日空からを装う (NHK, 2016/06/16 04:10)
http://www3.nhk.or.jp/news/html/20160616/k10010557971000.html

全日空装うメールで感染 香港を経由(産経新聞, 2016/06/16 14:18)
http://www.sankei.com/affairs/news/160616/afr1606160013-n1.html

◆JTB、ネット戦略が裏目でダメージ増…ずさんな管理を露呈した個人情報流出 (産経新聞, 2016/06/16 11:55)
http://www.sankei.com/affairs/news/160616/afr1606160009-n1.html

◆JTB個人情報流出 ウイルス添付のメールは全日空からを装う (NHK, 2016/06/16 04:10)
http://www3.nhk.or.jp/news/html/20160616/k10010557971000.html

全日空装うメールで感染 香港を経由(産経新聞, 2016/06/16 14:18)
http://www.sankei.com/affairs/news/160616/afr1606160013-n1.html

◆JTB流出、香港と不審通信…中国が攻撃関係か (読売新聞, 2016/06/18 06:00)
http://www.yomiuri.co.jp/national/20160617-OYT1T50164.html

◆大手旅行会社への攻撃にも用いられたウイルス「PlugX」――ファイア・アイが解説 (@IT, 2016/06/20 14:51)
http://www.atmarkit.co.jp/ait/articles/1606/20/news106.html

JTBの情報漏えいで使われたマルウェア「PlugX」とは何か? (IT Search, 2016/06/20 16:08)
https://news.mynavi.jp/itsearch/article/security/1559

◆高度化する標的型攻撃から大事なデータを守るために企業は今何をすべきか (EnterprizeZine, 2016/06/21 06:00)
https://enterprisezine.jp/article/detail/8184

JTBにはがっかりした、社長の謝罪会見で記者が感じた違和感 (ITPro, 2016/06/23)
http://itpro.nikkeibp.co.jp/atcl/watcher/14/334361/062000597/?cx

JTBの情報漏洩事故報告は遅すぎだ! ではいつだったら良かったのか? (ITPro, 2016/06/24)
http://itpro.nikkeibp.co.jp/atcl/watcher/14/334361/062100600/?rt=nocnt

◆JTB流出ウイルスは中国製が濃厚(読売新聞, 2016/06/24 18:14)
http://www.yomiuri.co.jp/science/goshinjyutsu/20160624-OYT8T50029.html

◆JTB狙ったサイバー攻撃 以前にも同じ手口 (NHK, 2016/06/24 05:15)
http://www3.nhk.or.jp/news/html/20160624/k10010569201000.html

◆JTBの対策は不十分 国助成の旅行商品販売認めず (NHK, 2016/06/25 11:35)
http://www3.nhk.or.jp/news/html/20160625/k10010571481000.html

◆JTB顧客情報流出、役員把握は1か月半後 (読売新聞, 2016/06/25 07:54)
http://www.yomiuri.co.jp/national/20160625-OYT1T50011.html

◆JTB情報流出、感染サーバー3台以上 再発防止策など公表 (産経新聞, 2016/06/25 06:57)
http://malware-log.hatenablog.com/entry/2016/06/25/000000_2

JTB不正アクセス問題で再び会見、情報は「客観的に見て流出」 (Travel vision, 2016/06/26)
http://www.travelvision.jp/news/detail.php?id=73164

【公開情報】

不正アクセスによる個人情報流出の可能性について< (JTB, 2016/06/14)
http://www.jtbcorp.jp/jp/160614.html

◆提携先のJTB社のグループ会社サーバーへの不正アクセスに伴う「dトラベル」の個人情報流出の可能性について (NTT docomo, 2016/06/14)
https://www.nttdocomo.co.jp/info/news_release/2016/06/14_00.html

◆ELIRKS (Trendmicro)
http://about-threats.trendmicro.com/Malware.aspx?language=jp&name=ELIRKS


【検体情報】

https://malwr.com/analysis/MzMwYzU4NTc0NDc4NDA0MmI2ODIwYzc2ZGRlYjRlMjY/

https://www.virustotal.com/ja/file/8cbe7a11ae59e607fdba324316925ff1bf16d10b4d8af271901e63873bc2bfb6/analysis/


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2019