日本航空(JAL/JL、9201)は10月29日、不正アクセスにより最大75万件の顧客情報が漏えいした可能性がある問題について、9月19日と22日に4131人分の情報が社外へ流出したことを確認したと発表した。該当者にはメールでの連絡を開始し、今後補償方法を検討する。
不正アクセスが起きたのは、マイレージサービス「JALマイレージバンク(JMB)」に登録した約2800万人分の顧客情報を管理するシステム「VIPS」。VIPSの動作が遅くなる現象「スローレスポンス」が発生した9月19日と22日の2日分の通信記録を調査した結果から、情報漏えいした可能性が高い会員数は19万337人だったが、調査を進めた結果7万9093人に絞られ、新たに4131人分が発見されて計8万3224人となった。
この8万3224人分のうち、2日分のデータ通信量から9745人分が社外へ送信されたことが判明。9745人分の中で、今回発見された4131人分はデータ流出に加えて個人の特定に至った。JALによると、残る5614人については、今後個人の特定は難しいという。
また、悪意のあるプログラム(ウイルス)により、香港の外部サーバーへデータ送信が開始されたのは、7月30日以降であることが特定された。そして、スローレスポンス発生前の9月18日以前に、顧客情報のサンプルを盗み出す試験的なウイルスにより、139人分の情報が社外へ漏えいした可能性があることが判明した。
139人分のうち、1人分はクレジットカード番号が流出した可能性があるが、有効期限など番号以外の情報を、ウイルスが取得した形跡はなかったという。また、この1人分については、VIPSから取得しようとした情報の種類が他のウイルスと異なっていた。PCのログ(記録)を解析したところ、社外に流出した9745人分のデータには、クレジットカード情報は含まれていないとしている。
国内にはVIPSを参照できるパソコン(PC)が、マイレージ部門や予約センターに約1800台ある。このうち、VIPSから顧客情報を盗み出すウイルスが実行されたPCは5台で、データを社外に送信したPCは、5台のうち3台だと特定した。
JALでは調査を継続するほか、社外取締役や社外監査役、外部監査法人による「独立役員検証委員会」を立ち上げ、調査や再発防止策の検討を進める。
関連リンク
日本航空
・JAL、不正アクセスで中間報告 植木社長「深くお詫び」(14年9月29日)
・JAL、アマゾンギフト券への交換再開を延期 不正アクセス発生で(14年9月24日)
・JAL、個人情報漏えいの可能性 最大75万人、標的型攻撃か(14年9月24日)