「JTB」793万人分の個人情報流出!その補償は?対策は?
旅行業界最大手のJTBの情報が流出したという事件、最近ではベネッセの事件が記憶に新しいところですが、今回793万人分の個人情報が外部に漏れた恐れ…ということで、JTBを利用したことのある方は、不安に思われているかもしれません。
いったいどんな手口で今回の情報流失にいたったか? また情報が漏れて悪用された場合はどうしたらいいのか? 調べてみました!
スポンサーリンク
■ 事の経緯をまとめてみると
2016年3月15日、JTB子会社「アイドットJTB」宛に実在する国内航空会社から添付ファイル付きメールが送られてくる。
件名は「航空券控え 添付のご連絡」。メールアドレスは、「ごくごく普通のありがちな日本人の苗字@実在する国内航空会社のドメイン」。
添付ファイルは「北京行きのEチケット」。本物の可能性もある精巧なもの。書かれていた乗客の名前をシステムで検索しても、該当する名前は見つからない。
↓
担当者はそのメール、及び添付ファイルを開き、書かれていた乗客の名前に該当がないため、「該当はありません」相手に返信するも、エラーメールで戻ってくる。
↓
その添付ファイルを開いたことによりウイルスに感染。4日後の3月19日、システム監視会社から「サーバーが海外と不審な通信をしている」と指摘される。
↓
さらに6日後の3月25日、ようやくネットワークと外部遮断作業終了。
↓
この10日の間に、担当者のパソコンを経由し、アクセス権限が1人のみのサーバーに侵入され、個人情報がコピーされる。(捜査事情通)
「アイドット」では標的型メール対策として、「疑似メール」を担当者に送るなどの訓練を日ごろ行っていたそうですが、「なんの不信感もなかった。極めて巧妙な内容であり、やむを得なかった」とJTBの会見で述べられたように、今回はその訓練が生かされなかったようです。
■ 情報流出した内容は?
JTBは、会員のうち何人の個人情報が流出した可能性があるのかを明らかにしていませんが、流出内容として
(1)氏名
(2)性別
(3)生年月日
(4)(本メールを受信された)メールアドレス
(5)住所
(6)郵便番号
(7)電話番号
の7項目としています。
パスポート情報やクレジットカード番号、銀行口座、予約内容は含まれていないようです。
また、793万人の情報のうち、「i・JTB」(東京都品川区)が運営する「JAPANiCAN」(ジャパニカン)の外国人向けのサイトに登録している70万人(中国、台湾などアジア人が7割を占める)も含まれており、サイト上で英語や中国語、韓国語など5カ国語で会員に注意を呼びかけていますが、政府がインバウンド(外国人旅行者を自国へ誘致する)による観光立国政策を揚げ、積極的に誘致していることから今回の事件は影響が懸念されそうです。
さらに、「ヤフートラベル」「auトラベル」「DeNAトラベル」などの、サイトからJTBにに転送したり、手配の一部をJTBに委託していたサイトや、「dトラベル」を利用していた人たちも今回の対象に含まれることがわかり、被害はさらに拡大しそうです。
■ すでになりすましメール事例も?
すでに現在、ジェイティービー(JTB)を装い、「なりすましメール」を不正に発信する事例が発生していることから、JTBは類似のメールアドレスからの「なりすましメール」や、「フィッシングサイト」への誘導に注意を呼びかけています。
JTBからは現在、流出した可能性のある対象者にメールを送っていますが、注意する点として
◆正しい送信元のメールアドレスは、「JTBホームページ」からのアドレス(jtb@jtb.co.jp)と、「るるぶトラベル」からのアドレス(rurubutravel@rurubu.travel)の2つ。両方のサイトから予約をしたことがある場合は、両方のメールアドレスから連絡がある。
スポンサーリンク
◆JTBが送信するメールでは、クレジットカード番号や銀行口座情報、暗証番号、ID/パスワード、マイナンバー等を聞くことはないとのこと。URLへのアクセスを求めたり、ファイルを添付することもないため、不審なメールアドレスからのメールや添付ファイルの開封を控えてほしい。
■ 実際に友人に届いたお詫びメールは?補償については?
この事件を知った時、先にあったベネッセ、エイベックスの情報流出事件を思い出し、いずれも被害にあった友人は、今回もJTB事件に該当していました。
ベネッセの際は、お詫びとして金券500円のamazon利用券が送付され、エイベックスについてはお詫びメールだけだったとのことですが、今回JTB事件については、下記のようなメールが送られてきたとのことで、内容はお詫びの言葉、パスポート、クレカ情報については含まれていないというものだけで、具体的な対応については述べられていないようです。
友人曰く「サイトに一応登録してあっただけで、実際に利用したことはないのに流出キタ~!!」とのことで(笑)、いや笑いごとではないのですが、むやみに登録するのは考えものですね。
また、エイベックスの情報流出では、友人は被害がなかったものの、カード情報が流出したことにより、見知らぬ海外のサーバーからネットショップで買い物され引き落としがあったというツイでの情報もありましたが、エイベックスもお詫び文以降、特に補償について連絡は来ていないようです。
今回、ベネッセの補償に準じるとした場合、単純に、500円×793万人=39億6500万円 ということになりますが、対応が気になるところです。
■ もしカード情報などが流出したら
今回の情報流出についてはクレジットカード情報は含まれていませんでしたが、もし今後、このような被害に合った場合の対策を調べてみました。
まずはご自身のカード会社にクレジットカードの不正利用がないかWeb明細確認をし、Web明細の場合、支払いに上がってきていない場合もありますので、直接カード会社に確認も良いかもしれません。また、カードはストップし、再発行が安全かもしれません。
もし不正利用が発覚したら
1.カード会社に連絡して不正利用を伝えましょう。その場で取り消しに応じる場合と支払保留になる場合と会社によりさまざまです。
2.カード会社が支払い取り消しに応じない場合は、警察に被害届を出し、消費者生活センターにご相談下さい。
<参考サイト>:経験者が語る!クレジットカードの不正利用を取り消す対処法
以前、カード被害にあった方の情報によれば、不正利用を連絡したものの、カード会社では取り消しに応じて貰えず、居住地の消費生活センターに相談に出向いたところ、担当の方が直接カード会社に経緯を説明して下さり、同時にその場でアドバイスを頂きながらカード会社に提出する「支払停止等のお申出の内容に関する書面」を作成し簡易書留でカード会社に送付。
申し立てたことにより支払いは一時保留となり、最終的に3カ月後位に消費生活センターの方から、支払停止の申し立てが認められたという経緯があったようです。
不正利用者が国外の場合はカード会社によって本当に対応が分かれますので、個人では難しいことも多いため、国民生活センター越境消費者センターに通報し、消費生活センターのお力をお借りするのがベストと思われます。
今後も増えるであろう情報流出、自分を防ぐ術も身につけなくてはなりませんね。
現在JTBは、不審な連絡や被害を受けた場合の専用の電話窓口を設置し、問い合わせを受け付けています。
■お客様特設窓口
専用フリーダイヤル:0120−589−272
受付時間:09:00〜20:30(土・日・祝含む)
スポンサーリンク