piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

日本航空の顧客管理システムへの不正アクセスについてまとめてみた

2014年9月24日、日本航空(以降JALと表記)が同社のPCがウイルスに感染し、顧客情報(JALマイレージバンク会員情報)が流出した可能性があると発表しました。ここではその関連情報をまとめます。

概要まとめ


(1) インシデントタイムライン

日時 出来事
2014年3月 JAL社員がメールに添付されたマルウェアに感染。
2014年7月30日以降 顧客情報管理システムへの不正アクセスが発生
2014年8月18日以降 顧客情報管理システムから顧客情報が流出した可能性
2014年9月18日以前 顧客情報管理システムからサンプル的に抜き出された期間
2014年9月19日 11時30分 顧客情報管理システムへのアクセス集中が発生し、応答が悪化する障害が発生。
2014年9月19日 23時頃 JALが対策を行い顧客情報管理システムへのアクセス集中が収束
2014年9月22日 11時頃 顧客情報管理システムへのアクセス集中が再び発生。
2014年9月24日 JALが顧客情報管理システムから情報流出したことを確認。
JAL不正アクセスによる情報流出について発表。
JAL不正アクセスを受け*1マイレージAmazonギフト券交換対応の再開延期を発表。
JALが警視庁へ被害相談を開始。
JAL国土交通省へ当該事案に関する届出
2014年9月29日 JALが会見を開き流出の詳細について発表。
2014年10月29日 JALが中間報告を発表。
JALが検証委員会を発足。
2014年10月31日 第1回検証委員会が開催
2014年11月12日 第2回検証委員会が開催
2014年11月19日 第3回検証委員会が開催
〜2014年11月中旬 JAL内部の調査(一次・二次)実施。
2014年11月21日 JAL役員会に最終報告書を提出。
2014年11月26日 第4回検証委員会が開催
2014年12月10日 第5回検証委員会が開催
2014年12月17日 第6回検証委員会が開催
2014年12月24日 第7回検証委員会が開催
2015年1月7日 第8回検証委員会が開催
2015年1月14日 検証委員会答申
2015年1月21日 JALが最終報告、検証報告を発表。

(2) 被害状況

被害を受けたシステム、端末
  • JALの顧客情報管理システム「VIPS」から顧客情報が流出した可能性
    • VIPSではJALマイレージバンク会員 約2800万人(国内会員2400万人、国外会員400万人)の顧客情報を管理している
  • 社内のPC 23台がマルウェアに感染
流出した可能性のある件数
推定最大流出件数 9月18日以前 約73万人分
7月29日以前の漏洩 現在のところ確認されていない
7月30日〜9月18日 139名分
9月19日、22日にVIPSから取得された件数 19万337人分*2 →10/29更新 79,093人分+新たに判明した4,131人分(合計83,224人分)
9月19日、22日のデータサイズからの2日間の推定流出件数 最大2万1000人分 →9,745人分に訂正→4,131人分に訂正
  • 流出件数は送信されたデータサイズから試算している。
  • 試算方法は送信された総データ量を一人あたりのデータ量で単純に割ったもの。
  • データが圧縮されていた場合は最大で75万人となる。
  • 送信されたデータ全てが顧客情報かどうかは不明。*3
  • 2014年10月29日時点で被害に関する報告は受けていない。*4
  • マルウェアに感染したPCから83,224人分の情報が確認された。
  • RAR形式ファイルが残存しており、ファイルに4,131人分の情報が含まれていた。
  • RARファイルのサイズと社外への通信記録が一致しており、当該ファイルが送信されたと判断。
流出した可能性のあるJALマイレージバンク会員情報の詳細
  • 会員番号(お得意様番号)
  • 氏名
  • 生年月日
  • 性別
  • 自宅郵便番号
  • 自宅住所
  • 自宅電話番号
  • 自宅FAX番号
  • 勤務先名
  • 勤務先郵便番号
  • 勤務先住所
  • 勤務先電話番号(内線)
  • 勤務先所属部門
  • 勤務先役職
  • PCメールアドレス
  • 携帯メールアドレス
  • 入会年月日
  • 9月18日以前に取得された情報はさらに次の様な情報が含まれる。
    • キャンペーン登録情報
    • FLYON資格情報
    • など
  • 以下の情報は当該システムに保存されていないため漏えいすることはないはずだが、*5 *6クレジットカードの会員番号が1件漏えいしたとする報道がある。*7
    • パスワード
    • クレジットカード番号
    • マイレージステータス
  • VIPS以外のシステムからの情報流出はないと発表。*8
  • 139人分の内クレジットカード情報が含まれていた可能性があるのは1件。*9
  • クレジットカード番号以外は取得された形跡はなかった。
  • この1件は取得試行された情報種類が他のマルウェアと異なっていた。
  • 社外流出したデータにクレジットカードに関する情報は含まれていない。
顧客情報管理システム「VIPS」へ行われた不正アクセスの詳細
  • 通信ログより香港のIPアドレスのサーバーへ送信された形跡を確認。*10
  • 感染PCから顧客情報管理システムに対して、データを抜き出すコマンドを送信していた可能性。*11
  • 2014年9月24日時点で不正アクセス元の特定には至っていない。
  • 同社のプロキシサーバーを経由して流出
マルウェアに感染していたPCの詳細
マルウェアに感染していたPC 23台
(内訳)
・天王洲本社 22台
・福岡支店コールセンター 1台
社外へデータを送信していたPC 本社のPC 7台
19,22日にデータを送信したPC 4台
JAL社内のPC 約1万6千台
VIPSへ接続可能なPC 約1800台
その内12台がマルウェアに感染
  • 23台全てウイルス対策ソフトが導入されていた。
  • OSはWindows7
  • USBメモリの接続は許可されていなかった。
  • メールの送受信は可能。
  • ウィルス対策ソフトやJALのネットワーク監視システムでは検知されなかった。
  • データを抜き出すコマンドを実行したのは5台
  • さらにその内データを社外に送信したPCは3台
不正にアクセスされたPCの詳細
  • 最終報告書により不正にアクセスされたとされる業務端末は次の通り。
  • 香港サーバと通信したことが確認された業務端末
  • 社内ネットワークの管理者権限で不正にアクセスされたことが確認された業務端末
  • 既知のマルウェアないし不正なタイマー設定等の痕跡が確認された業務端末
マルウェアに関する情報
  • 以下の機能が確認されている。
    • サーバーからデータを抜き出す機能
    • システムより抽出したデータを圧縮する機能

(3) 発端

  • 2014年9月19日、22日にシステムの反応が遅くなる障害が発生したことによる。
    • 9月19日は負荷のかかる検索が実行された可能性として通常障害との認識で対応を行った。*12
    • 19日は特定のプロセスを削除することで対応した。*13
    • 普段使われないPCからのアクセスが行われていた。*14
    • 通信記録を確認したところ外部への情報流出を確認した。

(4) 原因

  • 2014年9月29日時点で侵入経路の特定はできていないが、標的型攻撃を受けた可能性があると発表。*15 *16
  • 2015年1月21日発表の最終報告において、マルウェアが添付されたメールを受信し、マルウェアを実行してしまったことによりPCが感染したと報道。*17
    • 社外アドレスから受信したメールであったが文中に業務用語が使用されていたことから開封してしまった。
    • 受信、感染したのは2014年3月頃*18

(5) 対応

  • VIPSへアクセスできる全てのPCの外部接続を遮断
  • VIPSへ情報抜き出しに用いられたコマンドによる参照を禁止*19
  • 顧客情報流出の可能性について発表
  • 外部のセキュリティ専門組織による流出情報や原因の特定
  • 警視庁へ被害相談*20
  • 顧客問合せ対応の特設窓口の設置
  • プロキシサーバーの監視強化
  • 業務アプリケーションを動作させるPCのインターネット接続の遮断
  • 流出した可能性のある顧客約19万人へメールでの連絡
JALの調査にあたった組織
  • 検証委員会作業部会として、デロイトトーマル ファイナンシャルアドバイザリーがこれら調査内容の妥当性を検証。
最終報告を受けての対応
  • 最終報告概要、検証報告要約の発表
  • 漏えいが確定したユーザーへ金券の配布(QUOカード500円) *21

その他

  • JALは2014年2月に発生した不正ログインと今回の件について関連は今のところ全くないとコメントしている。
JALのパスワードポリシー
  • VIPSとOSのパスワードは別途設定する必要がある
  • パスワードは英数字記号3種類以上の設定必須
  • 3ヶ月以内にパスワードを変更する必要がある
  • 直近に設定したパスワードは使用できない

更新履歴

  • 2014年9月24日 PM 新規作成
  • 2014年9月24日 PM イメージ図追加
  • 2014年9月29日 PM JALの中間発表の内容を反映
  • 2014年10月29日 PM JALの中間発表の内容を反映
  • 2015年1月21日 PM JALの最終発表の内容を反映

*1:JAL、アマゾンギフト券への交換再開を延期 不正アクセス発生で,2014/09/24アクセス:魚拓

*2:JAL、不正アクセスで中間報告 植木社長「深くお詫び」,AviationWire,2014/09/29アクセス:魚拓

*3:JAL、不正アクセスで大量の顧客情報を流出--抜き取りコマンドを確認,ZDnetJapan,2014/09/24アクセス:魚拓

*4:日航、会員情報4000人分流出 不正アクセスで,日本経済新聞,2014/10/30アクセス:魚拓

*5:JAL個人情報漏えい、6桁暗証での危険性,読売新聞,2014/10/29アクセス:魚拓

*6:JALマイレージ会員75万人分情報漏えいか,日刊スポーツ,2014/09/24アクセス:魚拓

*7:4131人分の漏えい確認=PCウイルス感染で―日航,時事通信,2014/10/29アクセス:魚拓

*8:日航、顧客情報漏洩「メールから侵入の可能性高い」 ,日本経済新聞,2014/09/29アクセス:魚拓

*9:JAL、4131人分の情報流出特定 不正アクセスで,Aviation Wire,2014/10/29アクセス:魚拓

*10:日航、75万人分の情報漏えいか 不正アクセスで,共同通信,2014/09/24アクセス:魚拓

*11:75万人分の情報漏えいか 日航、不正アクセス,産経新聞,2014/09/24アクセス:魚拓

*12:JAL、個人情報漏えいの可能性 最大75万人、標的型攻撃か,AviationWire,2014/09/24アクセス:魚拓

*13:JALマイレージ会員の個人情報流出 最大75万件 社内PCにマルウェア、遠隔操作か,ITMedia,2014/09/24アクセス:魚拓

*14:JALで情報流出、マイレージ会員情報など最大75万件の可能性も,ITMedia,2014/09/24アクセス:魚拓

*15:75万人分の情報流出か 日本航空がウイルス被害,テレビ朝日,2014/09/25アクセス:魚拓

*16:JAL、顧客情報流出でセキュリティ強化 全容解明に数週間,ロイター,2014/09/29アクセス:魚拓

*17:ウイルスメール開封し感染=日航顧客情報漏えい,時事通信,2015/01/21アクセス:魚拓

*18:情報漏えいは4131人分 日航の不正アクセス,産経新聞,2015/01/21アクセス:魚拓

*19:JALが顧客情報漏洩の可能性、最悪の場合75万件,ITpro,2014/09/24アクセス:魚拓

*20:JALマイレージ会員情報など75万件流出か,日本経済新聞,2014/09/24アクセス:魚拓

*21:日航情報流出は4131人、謝罪しQUOカード,読売新聞,2015/01/21アクセス:魚拓