日本航空(JAL)は2015年1月21日、2014年9月に判明した顧客情報管理システム(名称は「VIPS」)への不正アクセスによるJALマイレージバンク(JMB)会員の個人情報漏洩事件(関連記事:JALが顧客情報漏洩の可能性、最悪の場合75万件)について、社内調査を完了したと発表した(画面)。
最終調査結果によれば、情報漏洩が確定した個人情報は4131人分だった。該当するJMB日本地区の会員には、謝罪のため500円分の「QUOカード」を送付する。JMB海外地区の会員には、米国の場合は5ドル分の「スターバックスカード」など、国に応じた金券などを送付する。
漏洩した個人情報は、JMB会員番号や氏名、生年月日、自宅住所・電話番号、勤務先住所・電話番号、電子メールアドレスなど。クレジットカード番号の漏洩はなかった。
これらの個人情報は、JAL社内の業務端末3台から、マルウエア(不正プログラム)によって香港にある外部サーバーへと送信される形で漏洩した。マルウエアは端末内のファイルを「.rar」形式で圧縮して送信する機能を持っていた。
マルウエアがJAL社内に侵入したきっかけは、社内の人物へ送られた電子メールだった。マルウエアを含む添付ファイルを開いてしまったことで、該当端末1台がマルウエアに感染。これを“踏み台”としてさらに2台へと侵入、感染が広がった。
今回の発表に併せ、社外取締役・監査役5人で構成する検証委員会は「検証報告書」を公開した。JALのセキュリティ対策について「当社ネットワーク外からの侵入を防ぐことに主眼が置かれ、悪意のある第三者が当社ネットワークに侵入した以降の対策に不十分であったことに関しては改善の余地がある」と指摘している。
JALは既に緊急対策として「危険サイトへの接続制限」「全業務端末から外部にアクセスする際の認証要求の追加」「新たなマルウエア検知機能による漏洩の防止」などを実施した。今後のセキュリティ強化策として「JALのWebサイトにおけるセキュリティ認証の強化」「メールに添付されたマルウエアを検知する仕組みの導入」「社員へのITセキュリティ教育の強化」などを挙げている。
