9月24日、日本航空の本社にあるPCがウイルスに感染し、そのせいで顧客情報(JALマイレージバンクの会員情報)が流出した可能性があるという発表がありました。
今回の事故についての概要は以下のようになっています。
まず、7月30日水曜日以降に、JALマイレージ会員の顧客情報を記録、管理している「VIPS」と呼ばれる社内システムへの不正アクセスが発生しました。その結果、8月18日以降に顧客情報管理システムから顧客情報が流出した可能性が生じました。この時点ではまだJAL側はこうした事象に気付いていなかったそうです。
VIPSへアクセス可能な権限を持つのは社内のPCですが、天王洲のJAL本社にあるPCのうち22台、福岡市のコールセンターでも1台、合計23台の該当PCがマルウェアに感染していたそうで、VIPSへ接続可能なPCはJAL社内の全PCおよそ1万6000台のうち約1800台、そのうちの12台が感染していたそうです。マルウェアに感染した23台のPC全てにはウイルス対策ソフトが導入されており、メールの送受信が可能でしたが、このマルウェアはウイルス対策ソフト、ネットワーク監視システムのどちらにも検知されず、感染経路は未確定(現在調査中)とのことです。
こうしたマルウェアの感染経路はさまざまです。該当PCはUSBメモリなどの外部記憶装置を禁止するシステムを導入していたそうですが、場合によっては先日のベネッセ事件のようなデジタルカメラや音楽プレイヤーなど、モバイル端末を回避できなかった可能性はゼロではありませんし、外部からの送信でもメールなどやウェブサイト経由でウイルス対策ソフトに検知されないようなマルウェアを送りつけることは比較的容易で、標的型攻撃の事例としてもあまり珍しくはありません。
そして、9月19日金曜日の午前11時30分頃、VIPSへのアクセス集中が発生し、応答が悪化するという障害が発生しました。この時点では、システムへ検索などによる負荷がかかってのことだと想定、通常障害との認識で、特定のプロセスを削除することで対応したところ、およそ半日後には解消されました。
感染PCは踏み台
ところが、9月22日月曜日、午前11時頃に再びVIPSへのアクセス集中が発生し、動作が重くなる症状が再発しました。その後、VIPSに普段使われないPCからのアクセスがあることを発見し、通信記録を確認したところ外部への情報流出を確認、VIPSへの不正アクセスによる情報流出の可能性を確認し、直ちに本事件の概要と状況について公表しました。そして翌週の29日月曜日には、会見を開いて事件のより詳細な内容について発表しました。
さて、このVIPSというシステムが管理しているのはJALマイレージクラブの会員情報です。犯行は、このシステムにログインする正規の権限を持った社内のPC端末を乗っ取ったようです。その「マルウェアに感染させたPC」を踏み台に、正規のログイン権限で社内システムのVIPSにアクセスしてデータを抜き出し、そのデータを外部に送信した、というのが攻撃の一連の流れのようです。
現在のところマルウェアには、サーバからデータを抽出する機能と、その抽出データを圧縮する機能の2種類が確認されているそうですが、圧縮機能が使われたかどうかは現在のところ確認できていないそうです。
