2014年9月に、日本航空の本社にあるPCがウイルスに感染し、社内の顧客情報管理システム“VIPS”にて管理されていたJALマイレージバンクの会員情報が流出した事件が起きました。さまざまなメディアで報道もされていましたので、いまだ記憶に残っていらっしゃる方も少なくないかと思います。
その事件ですが、1月21日に、日本航空から本事件についての社内調査の完了と最終調査結果、そして検証報告書が発表されました。結論から先に言うと、流出が確定した個人情報の件数は4131人分だったそうです。
該当する会員には、お詫びとして日本の会員には500円分のQUOカード、アメリカの会員には5ドル分のスターバックスカードなど、会員の国に応じて金券が送付されるらしいです。
さて、この事件では実際に何が起きたのか、最終報告結果と検証報告を踏まえて、改めて振り返ってみたいと思います。
まず、社外アドレスから社内の業務PCにマルウェアが添付されたメールが送信されました。時事通信社の報道によれば、「本来は慎重に内容を確かめるべきだったが、業務で使う用語がファイル名に含まれていたため、開封してしまった」とのことです。
普通の人が使わない専門用語、業界用語が使われていると、つい関係者だと考えてしまう可能性は確かに否定できません。しかし、逆にこうした関係者を装う手口、また取引先や知人をかたる手口は極めてメジャーな手法ですので、メールの相手が本当に信頼できるのかどうか確認してから開封するなど、改めて意識することは重要です。
そのマルウェアに感染した業務PCを踏み台に、更に他の業務PCへと感染が拡大していきました。そしてそれらの業務PCから、JALマイレージバンクのVIPSへ、社内ネットワーク内で次の不正アクセスが発生したわけです。
マルウェアは、VIPSからJALマイレージバンクの会員情報を抜き出します。この会員情報というのは、以下の項目だそうです。
- 会員番号(お得意様番号)
- 入会年月日
- 氏名
- 生年月日
- 性別
- 自宅(日本国内の郵便番号・住所・電話番号・FAX番号) ※国外のものは含まれていない
- 勤務先(会社名、所属部門名、役職、日本国内の郵便番号・住所・電話番号(内 線)) ※国外のものは含まれていない
- 電子メールアドレス(PC、携帯メール)
クレジットカード番号や有効期限といったカード情報の類は元々含まれていなかったようですが、それでもかなりの個人情報が内包されています。
