JAL本社に不正アクセス マイレージ会員情報、最大75万件流出の恐れ 

JAL

JAL、不正アクセスで顧客データ漏えいの可能性があると発表 Photographer:Toshio Tajiri/Flight Liner=14年3月

 日本航空(JAL)はJALマイレージバンク(JMB)会員の個人情報が漏えいした疑いがあると発表しました。流出した可能性のある顧客データは名前、JMB会員番号、入会年月日、誕生日、性別、郵便番号、住所、電話番号、FAX番号、勤務先、メールアドレス。

 JALマイレージバンク会員約2800万人の各種情報は「VIPS」とよばれる顧客情報管理システムで厳重に管理されており、このシステムが外部から不正アクセスを受けたという。

 9月19日の午前中、JALはVIPSシステムでスローレスポンスの発生を確認。その後、原因はデータベースへのアクセス集中と判明し、特定プロセスを消去したことで同日23時30分に解消。その3日後の22日11時頃にも同様の現象が発生。この時点で通常使用されていないパソコンからシステムに不正侵入されていたことが判明しています。

 24日にはVIPSシステムより特定サーバに対してJMB会員の個人情報が漏えいしていた可能性があることを確認。不正アクセスは7月30日から確認されていたという。

 情報流出の可能性がある顧客データは約11万件を想定しており、流出したデータが圧縮されていた場合は最大で75万件になる恐れがあります。今回のトラブルでJMB会員のパスワードとクレジットカード番号の情報漏えいは確認されていません。

 JALによると、今回のトラブルは社内にある23台のPCに悪意あるプログラムが埋め込まれ、そのプログラムがVIPSシステムのJMB会員顧客データを盗み取るコマンドを発行し、外部の特定サーバに送信しようとしていた可能性があるという。不正アクセスが判明したパソコン23台のうち、そのほとんどが東京・天王洲にある本社のパソコンで、VIPSシステムにアクセス権限のあるパソコンは12台。実際にデータ送信を試みたパソコンは7台です。

 詳細な原因については調査中とし、JALは顧客情報管理システムにアクセス可能なすべてのパソコンに対して外部への接続ができないような対策とともに、会員情報を抜き出したコマンドを特定し、当該コマンドは会員情報が参照できない状態に対策を講じてます。

 JALは今回のトラブルを受け、携帯電話とPHSからも通話可能なフリーダイヤルの専用窓口を設置。番号は0120-25-9750(有料ダイヤル:03-6740-1361)。対応時間は平日が8時から21時まで、土日祝日が9時から17時30分まで。