日本航空(JAL)は2014年9月24日、JALマイレージ会員の顧客情報が漏洩した可能性があることを明らかにした。漏洩件数は最大75万件に上る恐れがあるという。
データが漏洩したのは、同社の顧客関係管理システム「VIPS」。社内のPC23台に悪意のあるプログラムが埋め込まれ、そのプログラムがVIPSに不正アクセスを実行した。同プログラムは顧客データをVIPSから抜き出すコマンドを発行し、PCから外部の特定のサーバーに対してデータを送信していた可能性があることが分かった。
漏洩した可能性のある顧客のデータはおよそ11万件。これは、外部のサーバーに送信されたデータが全て顧客データであると仮定した場合、送信されたデータ総量を一人当たりのデータ量で単純に割った数字である。さらに、送信されたデータが圧縮されていたとすると、最大で75万件に上るとJALは想定している。
漏洩した可能性のあるデータは、会員番号、入会年月日、名前、誕生日、性別、自宅情報、勤務先情報、電子メールアドレス。パスワードとクレジットカード番号の漏洩は確認されていないという。
JALは当面の対応として、VIPSにアクセスできる全てのPCに対して、外部への接続ができないようにする措置を講じた。また、会員情報を抜き出したと思われるコマンドでは、会員情報を参照できないようにした。
