JTBから個人情報が、
793万人分流失しました。

その原因は、

PlugX(プラグエックス)

というマルウェアです。

某ネットショップの運営を
担当していた際に、
PlugXを使った標的型攻撃メール
を何度も受けていました。(笑)
※見ぬいていたので感染はしませんでしたが!

今回の記事では、
JTBの個人情報流失の原因になった
PlugXの仕組みをご紹介します。

スポンサードリンク

標的型攻撃メールに利用されるPlugXとは?

「PlugX」とは、
JTBなど大手企業や政府系機関に対して、
行われる標的型攻撃で使われるマルウェアです。

もちろん、
大手企業や政府系機関だけでなく、
ネットショップなどの不特定多数の
個人情報を扱う企業に対しても使われます。

PlugXの仕組みは?

PlugXを使った
標的型攻撃メールの仕組みからお伝えします。

1110201255319
※参考URL:http://about-threats.trendmicro.com/RelatedThreats.aspx?language=jp&name=Pulling+the+Plug+on+PlugX

  1. PlugXを使った標的型攻撃メールを受信する
  2. 添付ファイルを開くとPlugXが自分のコピー(亜種)を作成
  3. PlugXが3つの不正ファイル作成
  4. 不正ファイルに感性したデータを外部に送信

この4つのステップで、
PlugXは個人情報を抜き取っています。

PlugXが作成する3つの不正ファイルは、
下記の3つです

  • 正規ファイル
  • 不正なDLLファイル
  • バイナリファイル

3つのファイル共、
システムの動作に関連する
重要なファイルです。

この3つのファイルが、
マルウェアに感染した場合
システム(パソコン)内の、
全てのデーターにアクセスされます。

PlugXのプラグラム内容によっては、
個人情報以外にも下記の動作を
するケースがあります。

  • ファイルのコピー、作成、変更、開封
  • キー入力操作情報や実行中ウインドウの記録
  • 使用中ユーザのログオフ、侵入したコンピュータの再起動
  • レジストリ値の作成、変更、削除
  • ユーザ活動を動画やスクリーンショットとして記録
  • 各種接続の設定
  • プロセスの強制終了

PlugXを解析すると、
上記の機能を組み合わせやすいように
作られている事がわかっています。
↑これをモジュール化といいます。

代表的なPlugXのモジュール機能は下記の通りです

  • XPlugDisk
    ファイルのコピー、移動、名称変更、実行、削除が出来ます。
  • XPlugKeyLogger
    パソコンでキー入力した操作を記録することが出来ます。
  • XPlugRegedit
    パソコンの動作に関する重要なレジストリファイルの作成、削除、変更が出来ます。
  • XPlugProcess
    プロセスの動作状況を把握、強制終了が出来ます。
    ※プロセスとは、パソコンの動作状況の事を言います。
  • XPlugNethood
    ネットワークの状況や設定内容の把握、変更が出来ます。
  • XPlugSehell
    リモートシェルプログラムを使って、ネットワークにつながっている社内の他のパソコンを操作出来ます。

上記は、
PlugXのモジュール機能のごく一部です。

JTBの個人情報流失では、
漏洩している情報の多さから、
PlugXの最新亜種に、
全ての機能を盛り込んで、
攻撃された可能性があります。

ただし、
上記の機能をすべて盛り込むと、
動作する内容が多く、
PlugXが発見されるリスクが増えるため
あえて機能を絞っているケースもあります。

PlugXの対策がしにくい理由とは?

PlugXに限らず、
マルウェアの対策がしにくいのは、
常に改良されており、
様々な亜種が存在するからです。

そのため、
現時点でわかっている動作以外をする、
PlugXが存在する可能性もあります。

また、今回のJTBの個人情報流失では、
標的型攻撃メールとして、
PlugX以外にもELIRKSという
マルウェアが使われています。

詳しくはこちらの記事にて

PlugXに感染した期間が
長ければ長いほど被害は拡大します。

JTBの個人情報流失の場合は、

2016年3月15日~5月13日

まで感染が続きました。

これだけ長期間マルウェアに
感染しているという事は・・・

今もJTBのシステムや、
ネットワークの状況は

非常に危険

な状態だと考えています。
↑あくまで個人的な見解です。

JTBや関連企業のサービス利用については控えるつもりです!

JTBの名前が大きく報道されていますが、
提携している会社からも情報流失はしています。

詳しくはこちらの記事にまとめました。

JTBのサービスは利用していないから!
と安心していると、
自分の個人情報がいつのまにか、
流失している危険性もあります。

スポンサードリンク

全てが後手のJTBの対応に疑問?

第一報で、
793万人分の情報流失が
あったと知った時点で、
相当長期間に渡り、
情報が漏洩し続けていると思いました。

JTBほどの大手企業であれば、
システムの管理をするシステムエンジニアがいたはずです。

それを考えると、
個人情報を管理するサーバーから
外部に情報が送信されている事に、
なぜ2ヶ月以上も気づかなかったのか?

JTBの対策が甘かったのか?
よほど巧妙な標的型攻撃がされたのか?

この点は当事者でないとわかりません。

ただ、
外部に個人情報が流失しているのに、
その発表が1ヶ月以上遅れているのは、
JTBの対応を非難する声があっても仕方のない事です。

先ほど書いた通り、
個人的には現在も、
JTBのネットワークやサーバーは
非常に危険な状態にあると思っています。

その点については、
利用者それぞれが判断する事です!

その判断材料が1ヶ月以上も
隠されていた事自体が、
JTBという会社に対する不信につながると思います。

スポンサードリンク

関連するこちらの記事もどうぞ