このJALマイレージバンク、今回のこの事件が初めてというわけではなく、以前も不正アクセス事件を起こしてパスワードの変更を会員に依頼したりと、本件流出の原因が全てそれに起因するとまでは言いませんが、いまだにパスワードの設定が数字6ケタ(以前は数字4ケタだった)となっており、安全性に大きな問題を抱えています。
一般的には、多くのウェブサービスのパスワードは数字以外にアルファベットや記号などをパスワードにに使える上に8文字以上が主流であり、このサービスだけ他とは異なるパスワードを用いているユーザーも多いかもしれません。もちろん同じパスワードを使い回すのは避けるべきなのですが。
この「脆弱性」問題に関してはユーザー側では対策できないため、わずかに残る他の同様のサービスを含め、改善を望んでいます。
話は戻ります。マルウェアの不正アクセスによってVIPSにスローレスポンス(反応が鈍くなる)が発生(9月19日、22日)し、調査の結果「通常の業務では発生しない手法でVIPSから顧客情報をダウンロードし該当端末内に保管されていた」ことが分かり、事件の発覚へと進んでいきます。
このマルウェアは、ダウンロードした情報をRARという拡張子のファイル形式で圧縮し、外部に送信するものだったそうです。
そのため、このRARファイル(拡張子が.rar)で対象ファイルを絞り込み、顧客情報を扱う可能性のある端末ではそれら圧縮ファイルの内容を目視で確認。顧客情報を扱う可能性がない業務端末ではチェックツールで顧客情報の有無を確認し、顧客情報が画像データが1件でも検出されたファイルに関してはさらに精査、という流れで全端末の通信記録が調査されたそうです。
調査の結果、このマルウェアに感染した業務PCのうち20台が、香港のサーバに通信を行っていた可能性があって、その20台のうち顧客情報を外部に送信したのは3台だったそうです。この3台が香港サーバへ送信した、マルウェアが作成したと考えられるRARファイルに保存されていた顧客情報が、4131件分の情報だったことが分かった、ということです。また検証報告では、今後の課題として以下を挙げています。
- 社員への啓発活動や情報管理制度の見直し
- サイバー系インシデントに対する事前の体制整理
- 社内のネットワークとシステムの見直し
- 中立的な検証機能の導入
事例を教訓として今後に生かし再発防止の研修に役立てる、個人の業務PCに顧客情報は極力保存しない、情報の重要度の再定義と管理体制の見直しなどといったポリシー的な内容、そしてそしてセキュリティ監視センター(Security Operation Center:SOC)立ち上げやセキュリティ情報イベント管理(SIEM)実装、仮想化といったシステム的な内容などが挙げられています。
そして、最後にまとめとして「システムやネットワークなどのハードと、ヒューマンリソースや業務・運用などのソフトを両輪としたバランスの取れたセキュリティ対策が重要」と締めくくられています。
