ジェイティービー(JTB)は2016年6月14日、旅行商品をインターネット販売する子会社が標的型攻撃に遭い、最大で約793万人分の個人情報が流出した可能性があると公表した。高橋広行社長は同日午後5時から開いた記者会見で「お客様ならびに関係者のみなさまにご迷惑、ご心配をおかけしたことをお詫び申し上げます」と謝罪した。

謝罪するJTBの高橋社長ら
[画像のクリックで拡大表示]

 子会社のi.JTB(アイドットジェイティービー)の利用者に関する9項目の個人情報が流出した可能性がある。具体的には、氏名(漢字、カタカナ、ローマ字)、性別、生年月日、メールアドレス、住所、郵便番号、電話番号、パスポート番号、パスポート取得日である。

JTBの高橋社長
[画像のクリックで拡大表示]

 パスポート番号は9154件が流出した可能性がある。うち現在も有効なのは約4300件という。JTBの高橋社長は「現在のところ、流出の事実については判明していない。個人情報流出による被害を受けたという報告もない」と説明した。

 i.JTBの社員が2016年3月15日に標的型メールの添付ファイルを開封し、PCがマルウエア(悪意のあるソフトウエア)に感染した。表示上のメールアドレスはi.JTBと取引のある、実在する航空会社の系列会社のドメインだった。送信アドレスは不明だが「海外のレンタルサーバーから送られた」(JTB)。

 マルウエアはi.JTB内でサーバー2台・PC6台に感染を広げ、何者かが約793万人分の個人情報を格納したCSVファイルを作成、削除した。JTBは「ファイルを外部に送ったログを確認できない」(金子和彦取締役経営企画部長)ため、外部流出について可能性があるという表現にとどめたという。JTBは通信ログの一部を取っていなかった。

JTBの発表資料