「JALへの不正アクセス」中間報告を読み解く

相次ぐ不正アクセスとJALの個人情報漏えいの可能性中間報告

　2013年末あたりから不正アクセスによる個人情報漏えい事故が頻発している。多くの場合は、リスト型アカウント攻撃と呼ばれるIDとパスワードの流出と、パスワードの使い回しによる不正アクセスが原因となっている。被害が発生した各社では、パスワードの変更をアナウンスしており、先進的に取り組んでいるところでは他要素認証なども取り入れるなどして、再発防止に備えている。

　リスト型アカウント攻撃が後を絶たないのは、IDとパスワードによる単純な認証に加えて、IDをメールアドレスに設定しているという問題がある。このことはシステム管理者などには周知されている一方で、システムを早急に変更するのは難しく、利用者に協力をしてもらう形で認証機能の問題をやり過ごしているのが現状だ。

　9月19日、22日に日本航空（JAL）で発生した不正アクセスによる個人情報漏えい事故はこれとは異質のものとなっている。

　JALが9月29日付けで公開した中間報告（9月29日更新>JAL顧客情報システムへの不正アクセスによる個人情報漏えいの可能性について）によれば、顧客情報にアクセスできる社内PCがウイルスなどに感染し、JALマイレージバンク（JMB）の顧客情報の一部が外部サーバへ送信されたというものだ。漏えいした個人情報の数は約19万件、そのうちの2万1000件が外部サーバへ送信された可能性があるという。

　対象となる顧客にはメールもしくはJALホームページにログインした後に案内が出ているということなので、確認をしてみると良いだろう。くれぐれもこれを悪用したフィッシングメールなどのリンクをクリックするのではなく、URLを入力して確認することを推奨したい。

　編集部では、同様の事故が他社でも同様に発生したり、被害の拡大がないかを確認するためにJALにいくつかの質問し、得られた回答を元に事故の原因や影響について、専門家へのインタビューを通じて想定した。

　「漏えいの経路について」「感染PCとその経路について」「今後の対応について」のそれぞれを大項目として質問票を作成し、広報部からの回答を得た。

漏えいの経路について

　中間報告では、約19万の個人情報が漏えいの可能性があり、最大で2万1000件の個人情報が外部サーバへ送信されたとある。これだけを読むと、実際の漏えいは最大でも2万1000件ではないかと考えられる。この点については現在も調査中であることから、詳細はまだ確定しないということのようだ。

　現在のところ、まだ漏えいの経路は判明していないということで、外部サーバに送信されたものが全てではない可能性もある。外部サーバの所在地は香港であることがわかっているのみで、それがどのような目的で取得されているのかなどについてもわかっていない。

　ところで、データ件数についてはどのように算出したのだろうか。漏えい経路がわからないということであれば、件数を求める術もない。これについては、香港にあると推測される「悪意のあるサーバ」への送信が社内プロキシ経由だったということで、その総データ量について計算し、漏洩したであろう個人あたりのデータ量で割ったものだという。

JAL顧客情報システムへの不正アクセスによる個人情報漏えいの可能性について