またか──。大企業の情報漏洩事件が相次いでいる。2014年9月だけを見ても、日本航空(JAL)やNTTドコモ、佐川急便、ヤマト運輸、東日本旅客鉄道(JR東日本)が情報漏洩事件に見舞われた。
JALは特定の企業・組織を狙う「標的型攻撃」を受けたと見られる。そのほかの4社は、犯人が別の場所で入手したIDやアカウントを使ってシステムにログインし、情報を抜き取る「パスワードリスト攻撃(リスト型攻撃)」をそれぞれ受けた。
JAL は9 月2 4 日、顧客関係管理(CRM)システム「VIPS」から、自社の会員組織「JALマイレージクラブ」の情報最大75万件が漏洩した可能性があると発表。JALの植木義晴社長は29日午後の記者会見で、顧客情報の漏洩について陳謝した(写真)。
写真●顧客情報流出が疑われる問題を受け、記者会見で謝罪する日本航空の植木義晴社長(中央)
事件の経緯はこうだ。社内のPC23台に悪意のあるプログラムが埋め込まれ、そのプログラムがVIPSに不正アクセスを実行。同プログラムが顧客データをVIPSから抜き出すコマンドを発行し、PCから外部の特定のサーバーに対してデータを送信していた可能性があるとしている。
23台のPCのうち、実際にVIPSにアクセスできた端末は12台。「悪意のあるプログラムは、複数の部門のPCから発見された」(同社広報)。
この12台に埋め込まれた悪意あるプログラムが、9月19日と22日の2日間だけで合計19万337人分の顧客情報を抜き出した。そのうち2万1000件のデータが社外のサーバーに送付されたという。
先の2日間以外の情報漏洩に関しては調査中で、「仮に送信されたデータが圧縮されていたとすると、JALマイレージクラブの会員情報は最大で75万件漏洩した」とJALは試算している。10月6日時点では、どのような経緯で社内PCに不正なプログラムが埋め込まれたのかは、明らかになっていない。
