JTBの個人情報流出問題で、同社子会社の社員宛てに送り付けられた「標的型メール」は香港を経由しており、全日空から送られたように装っていたことが10日、捜査関係者への取材で分かった。

　JTBから被害相談を受けている警視庁は不正アクセス禁止法違反などの疑いで捜査している。

　捜査関係者によると、IPアドレスなどから発信元は海外で、最終的に香港を経由していた。メールアドレスに「ana」の文字が含まれ、航空券の予約の確認を促す内容だった。文末には担当者として、実在しない人物名も書かれていた。

　JTBによると、子会社の社員が3月、標的型メールに添付されたファイルを開いたため、パソコンやサーバーがウイルスに感染。最大で約793万人分の氏名や住所、メールアドレス、パスポート番号などの顧客の個人情報が流出した可能性がある。

　仕込まれていたのは「トロイの木馬」型と呼ばれるウイルスで、痕跡を残さずに情報を盗む「ELIRKS（エリークス）」と、遠隔操作でパソコン内の情報収集などを行う「PlugX（プラグエックス）」の2種類のウイルスの亜種が使われていたことが判明。ともに2012年頃から、国内の政府機関や大学などへのサイバー攻撃に使われたことが確認されている。

ELIRKS（エリークス）
感染経路：インターネットからのダウンロード
「KLURP」としても知られる「ELIRKS」は、メッセージを投稿するトロイの木馬型マルウェアのファミリです。投稿には、ミニブログサービス「PLURK」やソーシャル・ネットワーキング・サービス、マイクロブログサービスへのC&Cサーバを含みます。

PlugX（プラグエックス）
「PlugX」とは、政府系機関や主要産業機関を狙った標的型攻撃で使用される「Remote Access Tool（RAT）」の名称の1つであり、この種のツール自体は、同様の手口として、2008年に発生した標的型攻撃でも「PoisonIvy」というRATで確認されています。

　政府系機関等を狙った標的型攻撃において確認された新しいタイプのRATのことを指し、PlugXという名称としては、2012年6月に初めて確認されました。また、持続的標的型攻撃キャンペーンの「Lurid」で使用されたRATや、「DarkComet」というRATとも、その特徴は似ているといいます。

　さらに上述のPoisonIvyとも似た特徴としては、このPlugXを使用することで、不正リモートユーザは、侵入したコンピュータ内でユーザの許可や承認を得ることなく、以下のような不正活動や情報収集活動を行うという点をあげることができます。

・ファイルのコピー、作成、変更、開封
・キー入力操作情報や実行中ウインドウの記録
・使用中ユーザのログオフ、侵入したコンピュータの再起動
・レジストリ値の作成、変更、削除
・ユーザ活動を動画やスクリーンショットとして記録
・各種接続の設定
・プロセスの強制終了