マルウェアに感染していた該当PC全23台のうち、社外にデータを送信していたPCは天王洲本社にある7台で、さらにそのうちVIPSに障害が発生した19、22日にデータを送信していたPCは4台だそうです。通信ログを解析したところ、香港のIPアドレスを持つサーバへの接続履歴が確認されたとのことです。しかし、その香港のサーバが踏み台だった可能性も否定できませんので、それだけでは最終的な受信者の特定には至りません。なお、現在のところVIPS以外のシステムからの情報流出はないと発表されています。
この2日間にVIPSから取得されたデータ件数は19万337人分で、同2日間に上記PCから外部に送信されたデータが全て当該会員情報だったと仮定すると、そのサイズから最大で2万1000人分の情報(送信された総データ量を1人あたりのデータ量で単純に割った数値)が流出した恐れがあるということになります。もし当該データが圧縮されて送信されたと仮定するなら、最大で約75万人分の情報が流出した可能性も(単純な計算上の数値から言えば)ゼロではありません。
VIPSで管理しているJALマイレージバンク会員情報は、以下の通りだそうです。
- 会員番号
- 入会年月日
- 自宅氏名・生年月日・性別
- 自宅郵便番号・住所・電話番号・FAX番号
- 勤務先会社名
- 勤務先郵便番号・住所・電話番号(内線)・所属部門・役職
- PCメールアドレス
- 携帯メールアドレス
残念ながら「個人情報」と言われて想像される情報の多くは網羅されてしまっていますが、VIPSではパスワード、クレジットカード番号などの情報、マイレージのステータスに関しては保存していないため、流出したデータに含まれている可能性はないとのことです。
過去に別の企業が起こした流出事件では、そもそも日本クレジットカード協会で保存することを禁止しているはずのクレジットカードの「セキュリティコード」までをも保存し、挙げ句の果てに全て流出させるなどというひどい事例もありました。それに比べれば、リスクの分散には一定の考慮はなされているように感じます。