JALの顧客情報システムに不正アクセス、最大75万件の情報が漏えいの可能性

　日本航空株式会社（JAL）は24日、同社の顧客情報システムにアクセスできるPCの一部に悪意のあるプログラムが埋め込まれ、JALマイレージ会員の個人情報が漏えいした可能性があると発表した。

　漏えいした可能性のある顧客情報の件数は約11万〜75万件と推計しているが、詳細な件数については現時点で判明していない。

　漏えいした可能性のある情報は、会員番号、入会年月日、氏名、誕生日、性別、自宅に関する情報（郵便番号、住所、電話番号、FAX番号）、勤務先に関する情報（会社名、郵便番号、住所、電話番号、所属部門、役職）、メールアドレス（PC、携帯）の各項目。、パスワードとクレジットカード番号の漏えいは確認されていない。

　JALによると、9月19日11時30分ごろに顧客情報システムで応答が遅くなる現象が発生したが、この際にはデータベースへのアクセス集中が原因として対処を行うことで、23時30分ごろに解消した。しかし、9月22日11時ごろにも同様の現象が再発し、通常使用されていないPCからシステムへの不正アクセスがあったことが判明した。

　9月24日時点の調査では、7月30日以降に不正なアクセスがあり、8月18日以降に個人情報が漏えいした可能性があるという。JAL社内の23台のPCに悪意のあるプログラムが埋め込まれており、このプログラムが顧客情報システムから顧客データを抜き出し、外部の特定のサーバーに送信しようとしていた可能性がある。23台のうち7台のPCが、実際に外部にデータを送信しようとしていた。

　現時点で何件のデータが外部に送信されたかについては調査中だが、外部に送信されたデータがすべて顧客情報だった場合で11万件（総量を1人あたりのデータ量で割った推定値）、送信されたデータが圧縮されていた場合には最大75万件になると想定している。

　JALでは、詳細な原因については現在も調査を継続しており、当面の対応としては顧客情報システムにアクセスできるすべてのPCに対し、外部への接続を停止するなどの措置を実施していると説明。今後、新たな事実が判明次第、公表するとしている。

　セキュリティ対策としては、PCについてはセキュリティ対策ソフトを最新の状態で使用しており、ネットワーク側にもセキュリティ対策を施していたが、新種のマルウェアであったため検出できなかったという。

　JALでは、この件に対する問い合わせ窓口としてフリーダイヤルを設置。JALマイレージ会員に対しては、パスワードやクレジットカード情報は漏えいしておらず、特典交換などのマイレージプログラムは通常通り利用できると説明している。ただし、2月に判明した不正アクセスにより停止していたAmazonギフト券への交換サービスについては、9月24日に再開予定だったが、セキュリティ上の対応を進めるため再開を延期するとしている。