<10月29日更新>JAL顧客情報システムへの不正アクセスによる
一部のお客さまの個人情報漏えいの特定について(中間報告)
既にご案内のとおり、顧客情報システムにアクセスできる弊社内パソコンの一部に悪意のあるプログラムが仕込まれたことにより、JALマイレージバンク(JMB)会員のお客さまの個人情報(*1)が漏えいした可能性があることが判明しております。この度、JMB会員の一部のお客さまの個人情報の漏えいが特定されたことが新たに判明いたしましたのでご報告いたします。
JMBパスワードの漏えいは確認されておりません。特典交換などのマイレージプログラムは通常どおりご利用いただけます(*2)。
お客さまならびに関係の皆さまには、ご心配およびご迷惑をおかけいたしますことを、心よりお詫び申し上げます。
現在、当システムにアクセスできるパソコンに対しては、外部への接続を停止するなどの必要な対応に加え、緊急セキュリティ対策を実施しております。また、今後新たに社内に検証委員会(*3)を設置し、社内調査の検証や当社のITシステム全般に関わる問題点の検証などを行うことで、セキュリティの一層の強化などを行い、再発防止に向けて全力で取り組んでまいります。
なお、さらなる事態の詳細な解明につきましては、現在も社外のセキュリティ専門会社の協力を得ながら、原因を含めて調査を継続してまいりますとともに、警察機関とも連携を取りながら進めております。今後、新たな事実が分かり次第、あらためてお知らせいたします。
本日(2014年10月29日)時点で判明している新たな事実について、以下のとおりご報告いたします。
■当該システムの反応が遅くなる事象が発生しました2日間(2014年9月19日と22日)について、さらに詳細な調査を実施し、以下3点の新たな事実が判明しました。
<新たに判明した事実(3点)>
(1) 悪意のあるプログラムにより顧客情報データが抜き取られ、漏えいした可能性のあるお客さまの情報の件数は、約19万名分とご報告しておりましたが、79,093名分であることが判明しました。
(2) また、さらに詳細な調査を進めたところ、新たに4,131名分について、漏えいの事実が初めて判明しました。この4,131名の方々については、個々のお客さまの特定ができております。該当されるお客さまには、これから個別にeメール、郵送および以下のJMB会員ログインページ(*4)にてご連絡いたします。
(3) 悪意のある外部サーバに送信されたデータ件数は、最大約2万1千件とご報告しておりましたが、今回新たに判明した4,131名を含め、9,745件(通信量から試算した、実際に外部に送信されたデータ件数)であることが判明しました。
■また、外部サーバに対して何らかの送信が開始された7月30日から9月18日までの詳細な調査を実施し、以下の新たな事実が判明しました。なお、悪意のある外部サーバに送信されたデータ件数は、通信量から試算すると最大73万件である状況に変更はありません。お客さまについては、特定ができておりませんので、引き続き調査を続けてまいります。
<新たに判明した事実>
・ウィルスプログラムの試験動作により、139名分のお客さま情報が漏えいしている可能性のあることが、今回初めて判明しました。該当となるお客さまには、これから個別にeメール、郵送およびJMB会員ログインページ(*4)にてご連絡いたします。
| 7月29日以前 | 9月18日以前 (サンプル的に抜き出された期間) |
9月19日および22日 (システムにスローレスポンスが発生した日) |
|
|---|---|---|---|
| 悪意のあるプログラムにより顧客情報データが抜き取られ、漏えいした可能性のあるお客さま情報の件数 | (データ送信は確認されていません) | 不明(これまでのご報告) ↓ 139名 |
約19万名(これまでのご報告) ↓ 79,093名 *新たに4,131名が判明し、合計で83,224名となりました。 |
| 通信量から試算した、実際に外部に送信されたデータ件数 | (データ送信は確認されていません) | 最大73万件(これまでのご報告) ↓ 変更なし(引き続き調査中) |
最大約2.1万件(これまでのご報告) ↓ 9,745件 *うち4,131件は通信記録とファイル内容が一致したことから、漏えいの事実が特定されました。 |
本件についてのお問い合わせ窓口として、特設ダイヤルを開設いたしております。
(*1) 漏えいの可能性が疑われるのは、JALマイレージバンク会員のお客さまの以下の情報になります。
○会員番号(お得意様番号)
○入会年月日
○お名前
○生年月日
○性別
○ご自宅(郵便番号・ご住所・お電話番号・FAX番号)
○ご勤務先(会社名・郵便番号・ご住所・お電話番号(内線)・ご所属部門名・お役職)
○電子メールアドレス(パソコン、携帯メール)
(今回新たに漏えいの可能性が判明した139名のお客さまについては、以下情報についても漏えいの可能性が疑われます。)
○キャンペーン登録情報やFLYON資格情報など
(*2)「Amazonギフト券への特典交換サービス」につきましては、2014年9月24日に再開予定でございましたが、セキュリティ上の対応を進める必要が生じたため、再度延期いたしております。
(*3)「顧客情報漏えい問題に関する独立役員検証委員会」。社外取締役と社外監査役の5名で構成され、一般株主との利益背反がない独立役員が客観的な視点で調査を行うもので、内部統制・企業の自浄作用を有効に機能させる上で重要な役割を持つと考えております。
(*4)お客さまご自身の情報に関する調査状況につきましては、JALホームページのJMB会員ログインページの上部にあるメッセージ欄にてお知らせいたしております。(お客さまのお得意様番号とパスワードでのログインが必要です。)
2014年10月29日
日本航空株式会社