読者です 読者をやめる 読者になる 読者になる

いろいろやってみるにっき

なんとか自分の会社を立ち上げるところまで漕ぎ着けた、てきとーに生きている奴の日記

関連記事を探すときは、読んだ記事と同じカテゴリをクリックしてください。

記事のカテゴリは記事タイトル下に表示されています。カテゴリ一覧はサイドバーにあります。


ITPro『JTBにはがっかりした、社長の謝罪会見で記者が感じた違和感』に感じた難癖感

Tech 言及した

JTBからはメールが来ていた。6/18の夕方である。少し長いが主要部分を引用する。メールで読みやすいように改行が入っているが、この引用として読みやすいように、少し調整した。

 ※本メールは、個人情報が流出した可能性がある方に送信しております。

すでに、お客様特設窓口(フリーダイヤル)にお問い合わせをいただいた方には、重ねてのご案内になりますがお許しください。

 

お客様各位

 

このたび、弊社のインターネット販売を主とするグループ会社である株式会社i.JTB(アイドットジェイティービー)のサーバーに、外部からの不正アクセスがありました。
お客様にはご迷惑、ご心配をおかけすることになりましたことを深くお詫び申し上げます。
調査の結果、本メールを受信したお客様の個人情報が一部流出した可能性があることが判明いたしましたので、ご登録のメールアドレスにご連絡を差し上げております。
なお、お客様の情報には、現在有効なパスポート番号・取得日の情報は
含まれていないことが確認できております。

含まれていた個人情報は、オンライン予約の際に入力された、以下の(1)~(7)の一部または全部の情報となります。

(1)氏名
(2)性別
(3)生年月日
(4)(本メールを受信された)メールアドレス
(5)住所
(6)郵便番号
(7)電話番号

 

なお、クレジットカード番号、銀行口座情報、ご旅行の予約内容は含まれておりません。また、現在のところ、個人情報を悪用されたことによる被害の報告は入っておりません。

経緯等詳細につきましては、JTBグループサイト『感動のそばにいつも』トップページより「不正アクセスによる個人情報流出の可能性について」をご参照ください。


※安全のため、本メールからURLへのアクセスを求めることを差し控えさせていただいております。ご不便をおかけしますが、検索によりアクセスをお願いいたします。

お客様にお願いではございますが、弊社が本案件の確認を理由に、電話・郵便・メール等で、クレジットカード番号・銀行口座情報・暗証番号・ID/パスワード・マイナンバー等をうかがうことは絶対にございません。
弊社を名乗った詐欺等にはくれぐれもご注意いただきますようお願い申し上げます。

また、万が一、身に覚えのない連絡があった場合や、個人情報を不正に利用された事実があった場合は、下記、お客様特設窓口までご連絡を賜りますようお願い申し上げます。

あれ?オレってJTBとお付き合いあったっけ?まあ、なにかで使ったんだろうな。今持っている一番古いメアドだし。

 

このコラム(URLにopinionの文字があって笑える)は、日経BPとしては平常運転だなとは思うけど、これは難癖だろう。

いくつか引用する。まず1ページ目。

がっかりにつながる最初の違和感は、記者会見冒頭に感じた。高橋社長が下げた頭をさっとあげたからだ。記者はデジカメの連射モードで謝罪を撮影しており、写真のタイムスタンプを見ても頭を下げていたのは1秒程度だった。居並ぶ役員が頭を下げ続ける中、高橋社長はいち早く正面を向いていた。

「謝罪は頭を下げてそのままきっかり5秒保つ」。日経ビジネス2015年12月7日号の特集「謝罪の流儀」で、リスク管理を専門とするPR代理店が企業に謝罪会見対応でそう教えると読んでいたいたこともあり、少々面食らった。頭を長く下げればいいというものではないかもしれない。793万件もの情報流出の疑いがあり、うち9154件はパスポート番号を含む(現在有効なものは約4300件)という内容の謝罪会見である。

この時点で「流出の可能性」であって流出ではない。流出していないのであれば、当然具体的な被害もあり得ない。「被害が出ましたごめんなさい」なら相応の謝り方ってものがあるだろうが、「漏えいの可能性についての状況報告」である。ITPro的には謝罪会見としているけど。そして、JTBはこの件でクライシスマネジメントのコンサルタントを雇っていなかったのかもしれないし、雇っていても社長にきっちり指導できていなかったのかもしれない。でも頭頂部を長く見せたからといっても、ああこの人つむじが大きいなとか、そんなことしか思わないよ、実害が無い場合なら。

 

2ページ目。そりゃ理想論としては数日掛かるのは長いけどさ。

がっかりが決定的になったのは、インシデント(セキュリティ事故)を高橋社長が知ったのが記者の想像以上に時間がかかっていたと知った時だ。

3ページ目。専門家じゃないとすぐに答えられない質問も、すぐに答えろと?

会見後のぶら下がり取材でも専門家と思しき担当者が、登壇者に呼ばれて何度も説明しており、情報共有の不十分さを感じさせた。

4ページ目。

とはいえ、インターネットに接続するネットワークに暗号化のしていないデータベースサーバーを接続したり、未知のマルウエア発見に効果を期待できる「サンドボックス製品」を導入していなかったりしていた点は、日本年金機構の事案から学んでおらず、がっかりしてしまった。

個人と直接コンタクトし業務として個人情報を集める業態の企業の場合、経営トップ自ら把握すべき事項のひとつが、情報セキュリティである。理想論としては。そして情報セキュリティ対策は、常に最新の攻撃の動向に合わせた対策を取るべきである。理想論としては。

でも、実際に被害が出る前に会見を開いた企業に対しては、ちょっと難癖過ぎるだろう。

 

標的型攻撃については以前にも書いたが、メールを業務で使う場合、どうしても避けようがない。

ネットワーク的にはIDS,IPS,UTMなどが有効な可能性が高いし、記事にもあるように「サンドボックス製品」によるヒューリスティック検出、ビヘイビアブロッキングは有効な可能性が高い。

FFRI プロアクティブ セキュリティ

FFRI プロアクティブ セキュリティ

 

そして、こういう業務形態の企業なら、ネットワークのログは全て取得しておくべきだろう。

 

 しかし、何事も時間と金が掛かる。年金機構の件から言えば、まだ1年。ちょっと言いがかり感は否めない。

 

そんなことより、むやみに個人情報を集めまくっているCCCとかに突っ込めよ、会見に行って難癖つけてコラムひと枠埋めるくらいなら。

 

 関連エントリ(なんかいっぱいあった)