JTB、偽装メールの対策教育が根本的に間違ってた可能性
JTBの端末、海外サーバーと不審通信 顧客情報流出 :日本経済新聞
JTB社員はなぜ、ウイルス入り添付ファイルを開いたのか 「気づくの難しかった」- ITmedia ニュース
「顧客の旅程を確認したい」。取引先対応の部署になじみの航空会社のドメイン(ネット上の住所)を持つメールから問い合わせがあったのは3月15日。日本語で書かれた文面に従って添付ファイルを開いた。
担当した20代女性社員は顧客の旅程を確認できず、その旨をメールで返信。標的型ウイルスの疑似メール対策などの訓練を受けていたが、違和感はなかったという。JTBの担当者は「気付くのは難しかった」と話す。 |
疑似メール対策の訓練がちょっと気になったんですが
今回の不正アクセスにより、個人情報流出の可能性があるお客様には、順次メールにてご連絡を差し上げます。
その際の送信元メールアドレスは、以下の通りでございます。 1.送信元メールアドレス ※このアドレスは、弊社からの送信専用のメールアドレスとなります。 2.ご注意のお願い (1)上記、送信元メールアドレスを装った、類似メールアドレスにご注意ください。 |
不正アクセスで使うメールアドレス公開しちゃってるので、これを使った偽装メールの二次被害が出るのは必至なのですが、注目すべきところは、「類似メールアドレス」に対する注意だけ
あれ?もしかして、JTBのセキュリティ担当者自体が、なりすましメールについてよく知らないんじゃね?
Facebookmail が悪質なメールだと断言するサイトが多い件について
「なりすましメール」とは何か。偽装メールを送る方法・ヘッダの見破り方。FromとReceivedは書き換えられやすい - モバイル通信とIT技術をコツコツ勉強するブログ
メールアドレスの差出人や受取人アドレスは、実は偽装可能なので、どこから送信されたかは、厳密には、メールヘッダを見ないとわからないのである・ω・
プロバイダなどで提供されているなりすましメールを判定するための仕組みが、メールヘッダと実際の受取人アドレスの整合性が取れてるかを自動でチェックしてくれるものなのだが…。
JTBの対応は遅かった。同月19日には外部のセキュリティー会社から不審な通信があることを知らされていたにもかかわらず、完全に通信を遮断したのは個 人情報がコピーされた同月21日よりも後だった。この間にサーバーを遠隔操作されたとみられ、1人しかアクセス権限のないサーバーから顧客データをコピー された。通信記録の設定も甘く、外部に流出したかどうかさえ「確認できない」という。 |
そもそも、JTBが、差出人のメールアドレスの確認や、 A HREF で偽装されたURL のしかやってなかったのではないだろうか?一連のニュースを見ていてそう感じた ・ω・
対策が甘かったとかいう問題ではなく、もう、意識レベルで酷かったとしか思えない
情報漏えいは起こるべくして起こったのだろう
Comments