@Aviation_Wire
Aviation Wire
RSS
日本航空(JAL/JL、9201)は9月24日、顧客情報管理システム「VIPS」への不正アクセスが起き、JALマイレージバンク(JMB)会員約2800万人分の顧客データのうち、最大75万人分が漏えいした可能性があることを明らかにした。現時点では、顧客から不正アクセスされたなどの被害の報告は受けていないという。
最大75万人分の顧客情報が流出した可能性のあるJAL=14年7月 PHOTO: Tadayuki YOSHIKAWA/Aviation Wire
漏えいした可能性がある項目は、会員番号と入会年月日、名前、誕生日、性別、自宅住所と電話番号、FAX番号、勤務先の会社名、住所、電話番号、所属部門、役職、電子メールアドレス(パソコン、携帯)。パスワードの漏えいは確認されておらず、クレジットカード情報やマイレージのステータスはVIPSのサーバーには保存されていないため、漏えいすることはないという。
JALによると9月19日午前11時30分ごろ、VIPSの動作が遅くなる現象が発生。当日は負荷のかかる検索が実行された可能性など、通常のシステム障害だと認識して対応したところ、午後11時30分ごろ解消した。しかし22日午前11時ごろ、再度同様の障害が起きたため同じ対応をとったが、普段はVIPSにアクセスしていないパソコンから、同システムに対して不正アクセスが発生したことが判明した。
不審に思ったシステム担当者が再度調べたところ、24日に入り今年7月30日以降にVIPSへ不正アクセスがあったことが判明。8月18日以降、VIPSのサーバーから個人情報が漏えいした可能性があることがわかった。
社内にある約1万6000台のパソコンのうち、東京・天王洲の本社にある22台と福岡市内にあるコールセンターに置かれた1台のパソコンに、悪意のあるプログラムが埋め込まれたことが判明。このうちVIPSにアクセスできるのは12台で、VIPSサーバーから抜き出したデータを社外に送信しようとした形跡があったものは、本社にある7台だった。これらのパソコンは通常、顧客からの会員情報の照会などに使われていた。
JALによると、セキュリティーの専門家との調査で、同社全体に導入されているアンチウイルスソフトやネットワーク監視システムでは当該プログラムは検出されておらず、今回のトラブルを起こすために作られたとみられる。また、社外へデータを送信しようとしたパソコンは、USBメモリーなど外部記憶装置とのやりとりを禁止する設定になっており、メールの添付ファイルやウェブサイトからのダウンロードといった標的型攻撃により、悪意のあるプログラムが仕掛けられた可能性があるという。
これらのパソコンのOSはWindows 7で、VIPSを使用するためにはログイン用パスワードとVIPSのパスワードが別々に必要。パスワードはいずれも英数字や記号を3種類以上使い、3カ月以内に更新しなければならず、直近に設定したパスワードは設定できないようになっている。
悪意のあるプログラムは、VIPSのサーバーからデータを抜き出すものだけではなく、抽出したデータを圧縮するものも含まれていた。社外のサーバーに送信されたデータ量を調べたところ、すべてが顧客情報だった場合はデータを圧縮しない場合で最大11万人分、圧縮されていた場合は最大75万人分にのぼるとしている。しかし、現時点では圧縮プログラムが稼働していたかなどの詳細は判明していないという。
通信ログ(記録)を解析したところ、香港のIPアドレスを持つサーバーへの接続履歴が確認されたが、同サーバーが踏み台として使用されている可能性もあるとしており、犯人の特定には至っていない。
JALのマイレージサービス会員であるJMB会員2800万人のうち、国内が2400万人で残り400万人のうち100万人が外国人。JALでは特設デスクを開設し、対応するとしている。フリーダイヤル0120-25-9750(携帯・PHS可)または03-6740-1361。問い合わせ時間は平日が午前8時から午後9時まで、土日祝日が午前9時から午後5時30分まで。
関連リンク
不正アクセスによる個人情報漏えいの可能性について
日本航空
JAL不正アクセス関連
・JALマイルへの不正アクセス、40人に被害(14年2月4日)
・JAL、マイルの不正ログイン発覚 アマゾンギフト券への交換一時停止(14年2月3日)
ANA不正アクセス関連
・ANA、8桁以上にパスワード強化 9月導入(14年8月19日)
・ANAも不正アクセス、iTunesギフトコードへマイル交換被害 最大65万円分(14年3月11日)
【お知らせ】
1段落目後半に顧客の状況を追記しました。(2014年9月24日 20:15 JST)
JALのパソコンの総数を追記しました。(2014年9月24日 20:10 JST)