ジェイティービーは14日、インターネット販売を取り扱うグループ会社i.JTBのサーバに3月、外部からの不正アクセスがあったことを公表した。有効なパスポート番号約4,300件を含む、約793万人分という多数の個人情報が流出した可能性がある。クレジットカード番号や、銀行口座情報の流出はないという。
ジェイティービーによる発表文(一部) |
流出した可能性のある情報
流出した可能性のある情報は、氏名(漢字、カタカナ、ローマ字)、性別、生年月日、メールアドレス、住所、郵便番号、電話番号、パスポート番号、パスポート取得日の一部または全部。件数は、約793万人分に上る。このなかで、パスポート番号およびパスポート取得日は失効したものも含まれており、現在有効な番号は約4,300件。
対象ユーザーは、「JTBホームページ」「るるぶトラベル」「JAPANiCAN」のオンライン予約を利用したユーザー、提携先サイトでJTB商品を予約したユーザー。
ただし、「JTB旅物語」「高速バス」「現地観光プラン、レジャーチケット、定期観光バス」「レストラン」「海外ダイナミックパッケージ」「海外航空券」「海外ホテル」「海外現地オプショナルツアー」「その他旅行関連商品(保険、積立等)」を予約したユーザーは対象外。
事件の経緯
不正アクセスの発端は2016年3月15日。取引先を装ったメールの添付ファイルを開いたことで、i.JTBのPCがウイルスに感染した。そして3月19日~24日の期間、i.JTB内のサーバ内部から外部への不信な通信が複数確認されたという。
その後、不審な通信を特定、遮断したのち、ネットワーク内の全サーバ、PCの調査を行ったところ、4月1日に、外部からの不正侵入者が3月21日に作成・削除したデータファイルの存在が確認された。
同社は5月13日、不正侵入者が作成・削除したファイルに個人情報が含まれていたことを確認。ファイルを復元したところ、約793万人分の個人情報が含まれていたことが判明した。
ジェイティービーの対応、対策
同社は、外部への不審な通信の遮断、感染範囲の特定とウイルスの駆除、個人情報へのアクセス制御の強化を実施済みという。14日17時時点では、情報流出の事実を確認していないほか、個人情報悪用による被害の報告もないとする。
対象ユーザーに対しては、登録メールアドレス宛に順次連絡する。また、専用窓口を設け、不審な連絡や被害を受けた場合は窓口までの連絡を呼びかけている。