セキュリティの論点

JAL個人情報流出事件を振り返る--ハードよりもソフトの充実を

中山貴禎(ネットエージェント)

2015-02-12 07:00

 2014年9月に、日本航空の本社にあるPCがウイルスに感染し、社内の顧客情報管理システム“VIPS”にて管理されていたJALマイレージバンクの会員情報が流出した事件が起きました。さまざまなメディアで報道もされていましたので、いまだ記憶に残っていらっしゃる方も少なくないかと思います。

 その事件ですが、1月21日に、日本航空から本事件についての社内調査の完了と最終調査結果、そして検証報告書が発表されました。結論から先に言うと、流出が確定した個人情報の件数は4131人分だったそうです。

 該当する会員には、お詫びとして日本の会員には500円分のQUOカード、アメリカの会員には5ドル分のスターバックスカードなど、会員の国に応じて金券が送付されるらしいです。

 さて、この事件では実際に何が起きたのか、最終報告結果と検証報告を踏まえて、改めて振り返ってみたいと思います。

 まず、社外アドレスから社内の業務PCにマルウェアが添付されたメールが送信されました。時事通信社の報道によれば、「本来は慎重に内容を確かめるべきだったが、業務で使う用語がファイル名に含まれていたため、開封してしまった」とのことです。

 普通の人が使わない専門用語、業界用語が使われていると、つい関係者だと考えてしまう可能性は確かに否定できません。しかし、逆にこうした関係者を装う手口、また取引先や知人をかたる手口は極めてメジャーな手法ですので、メールの相手が本当に信頼できるのかどうか確認してから開封するなど、改めて意識することは重要です。

 そのマルウェアに感染した業務PCを踏み台に、更に他の業務PCへと感染が拡大していきました。そしてそれらの業務PCから、JALマイレージバンクのVIPSへ、社内ネットワーク内で次の不正アクセスが発生したわけです。

 マルウェアは、VIPSからJALマイレージバンクの会員情報を抜き出します。この会員情報というのは、以下の項目だそうです。

  • 会員番号(お得意様番号)
  • 入会年月日
  • 氏名
  • 生年月日
  • 性別
  • 自宅(日本国内の郵便番号・住所・電話番号・FAX番号)
    ※国外のものは含まれていない
  • 勤務先(会社名、所属部門名、役職、日本国内の郵便番号・住所・電話番号(内 線))
    ※国外のものは含まれていない
  • 電子メールアドレス(PC、携帯メール)

 クレジットカード番号や有効期限といったカード情報の類は元々含まれていなかったようですが、それでもかなりの個人情報が内包されています。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]