2014年9月24日、日本航空(以降JALと表記)が同社のPCがウイルスに感染し、顧客情報(JALマイレージバンク会員情報)が流出した可能性があると発表しました。ここではその関連情報をまとめます。
公式発表
- 2014年9月24日 JAL顧客情報管理システムへの不正アクセスによる個人情報漏えいの可能性について(魚拓)
- 2014年9月24日 JALマイレージバンク特典「Amazonギフト券への特典交換サービス」の再開延期について(魚拓)
- 2014年10月29日 JAL顧客情報システムへの不正アクセスによる一部のお客さまの個人情報漏えいの特定について(中間報告)(魚拓)
- 2015年1月21日 定例記者会見(2015年1月21日)(魚拓)
- 2015年1月21日 JAL顧客情報システムへの不正アクセスによるお客さま情報の漏えいについて<最終報告> (魚拓)
- 2015年1月21日 (PDF) 検証報告書(要約)
JALへの問い合わせ窓口
<電話番号>
https://www.jal.co.jp:443/info/other/140924.html
0120-25-9750(フリーダイヤル)※携帯電話、及びPHSからも通話可能
03-6740-1361(有料ダイヤル)
<営業時間>
平日 08:00〜21:00
土・日・祝日 09:00〜17:30
(1) インシデントタイムライン
日時 | 出来事 |
---|---|
2014年3月 | JAL社員がメールに添付されたマルウェアに感染。 |
2014年7月30日以降 | 顧客情報管理システムへの不正アクセスが発生 |
2014年8月18日以降 | 顧客情報管理システムから顧客情報が流出した可能性 |
2014年9月18日以前 | 顧客情報管理システムからサンプル的に抜き出された期間 |
2014年9月19日 11時30分 | 顧客情報管理システムへのアクセス集中が発生し、応答が悪化する障害が発生。 |
2014年9月19日 23時頃 | JALが対策を行い顧客情報管理システムへのアクセス集中が収束 |
2014年9月22日 11時頃 | 顧客情報管理システムへのアクセス集中が再び発生。 |
2014年9月24日 | JALが顧客情報管理システムから情報流出したことを確認。 |
〃 | JALが不正アクセスによる情報流出について発表。 |
〃 | JALが不正アクセスを受け*1マイレージのAmazonギフト券交換対応の再開延期を発表。 |
〃 | JALが警視庁へ被害相談を開始。 |
〃 | JALが国土交通省へ当該事案に関する届出 |
2014年9月29日 | JALが会見を開き流出の詳細について発表。 |
2014年10月29日 | JALが中間報告を発表。 |
〃 | JALが検証委員会を発足。 |
2014年10月31日 | 第1回検証委員会が開催 |
2014年11月12日 | 第2回検証委員会が開催 |
2014年11月19日 | 第3回検証委員会が開催 |
〜2014年11月中旬 | JAL内部の調査(一次・二次)実施。 |
2014年11月21日 | JAL役員会に最終報告書を提出。 |
2014年11月26日 | 第4回検証委員会が開催 |
2014年12月10日 | 第5回検証委員会が開催 |
2014年12月17日 | 第6回検証委員会が開催 |
2014年12月24日 | 第7回検証委員会が開催 |
2015年1月7日 | 第8回検証委員会が開催 |
2015年1月14日 | 検証委員会答申 |
2015年1月21日 | JALが最終報告、検証報告を発表。 |
(2) 被害状況
被害を受けたシステム、端末
- JALの顧客情報管理システム「VIPS」から顧客情報が流出した可能性
- VIPSではJALマイレージバンク会員 約2800万人(国内会員2400万人、国外会員400万人)の顧客情報を管理している
- 社内のPC 23台がマルウェアに感染
流出した可能性のある件数
推定最大流出件数 | 9月18日以前 約73万人分 |
---|---|
7月29日以前の漏洩 | 現在のところ確認されていない |
7月30日〜9月18日 | 139名分 |
9月19日、22日にVIPSから取得された件数 | 19万337人分*2 →10/29更新 79,093人分+新たに判明した4,131人分(合計83,224人分) |
9月19日、22日のデータサイズからの2日間の推定流出件数 | 最大2万1000人分 →9,745人分に訂正→4,131人分に訂正 |
流出した可能性のあるJALマイレージバンク会員情報の詳細
- 会員番号(お得意様番号)
- 氏名
- 生年月日
- 性別
- 自宅郵便番号
- 自宅住所
- 自宅電話番号
- 自宅FAX番号
- 勤務先名
- 勤務先郵便番号
- 勤務先住所
- 勤務先電話番号(内線)
- 勤務先所属部門
- 勤務先役職
- PCメールアドレス
- 携帯メールアドレス
- 入会年月日
- 9月18日以前に取得された情報はさらに次の様な情報が含まれる。
- キャンペーン登録情報
- FLYON資格情報
- など
顧客情報管理システム「VIPS」へ行われた不正アクセスの詳細
マルウェアに感染していたPCの詳細
マルウェアに感染していたPC | 23台 (内訳) ・天王洲本社 22台 ・福岡支店コールセンター 1台 |
---|---|
社外へデータを送信していたPC | 本社のPC 7台 19,22日にデータを送信したPC 4台 |
JAL社内のPC | 約1万6千台 |
VIPSへ接続可能なPC | 約1800台 その内12台がマルウェアに感染 |
不正にアクセスされたPCの詳細
- 最終報告書により不正にアクセスされたとされる業務端末は次の通り。
- 香港サーバと通信したことが確認された業務端末
- 社内ネットワークの管理者権限で不正にアクセスされたことが確認された業務端末
- 既知のマルウェアないし不正なタイマー設定等の痕跡が確認された業務端末
マルウェアに関する情報
- 以下の機能が確認されている。
- サーバーからデータを抜き出す機能
- システムより抽出したデータを圧縮する機能
(3) 発端
(4) 原因
(5) 対応
- VIPSへアクセスできる全てのPCの外部接続を遮断
- VIPSへ情報抜き出しに用いられたコマンドによる参照を禁止*19
- 顧客情報流出の可能性について発表
- 外部のセキュリティ専門組織による流出情報や原因の特定
- 警視庁へ被害相談*20
- 顧客問合せ対応の特設窓口の設置
- プロキシサーバーの監視強化
- 業務アプリケーションを動作させるPCのインターネット接続の遮断
- 流出した可能性のある顧客約19万人へメールでの連絡
JALの調査にあたった組織
- 検証委員会作業部会として、デロイトトーマル ファイナンシャルアドバイザリーがこれら調査内容の妥当性を検証。
その他
- JALは2014年2月に発生した不正ログインと今回の件について関連は今のところ全くないとコメントしている。
JALのパスワードポリシー
- VIPSとOSのパスワードは別途設定する必要がある
- パスワードは英数字記号3種類以上の設定必須
- 3ヶ月以内にパスワードを変更する必要がある
- 直近に設定したパスワードは使用できない
更新履歴
*1:JAL、アマゾンギフト券への交換再開を延期 不正アクセス発生で,2014/09/24アクセス:魚拓
*2:JAL、不正アクセスで中間報告 植木社長「深くお詫び」,AviationWire,2014/09/29アクセス:魚拓
*3:JAL、不正アクセスで大量の顧客情報を流出--抜き取りコマンドを確認,ZDnetJapan,2014/09/24アクセス:魚拓
*4:日航、会員情報4000人分流出 不正アクセスで,日本経済新聞,2014/10/30アクセス:魚拓
*5:JAL個人情報漏えい、6桁暗証での危険性,読売新聞,2014/10/29アクセス:魚拓
*6:JALマイレージ会員75万人分情報漏えいか,日刊スポーツ,2014/09/24アクセス:魚拓
*7:4131人分の漏えい確認=PCウイルス感染で―日航,時事通信,2014/10/29アクセス:魚拓
*8:日航、顧客情報漏洩「メールから侵入の可能性高い」 ,日本経済新聞,2014/09/29アクセス:魚拓
*9:JAL、4131人分の情報流出特定 不正アクセスで,Aviation Wire,2014/10/29アクセス:魚拓
*10:日航、75万人分の情報漏えいか 不正アクセスで,共同通信,2014/09/24アクセス:魚拓
*11:75万人分の情報漏えいか 日航、不正アクセス,産経新聞,2014/09/24アクセス:魚拓
*12:JAL、個人情報漏えいの可能性 最大75万人、標的型攻撃か,AviationWire,2014/09/24アクセス:魚拓
*13:JALマイレージ会員の個人情報流出 最大75万件 社内PCにマルウェア、遠隔操作か,ITMedia,2014/09/24アクセス:魚拓
*14:JALで情報流出、マイレージ会員情報など最大75万件の可能性も,ITMedia,2014/09/24アクセス:魚拓
*15:75万人分の情報流出か 日本航空がウイルス被害,テレビ朝日,2014/09/25アクセス:魚拓
*16:JAL、顧客情報流出でセキュリティ強化 全容解明に数週間,ロイター,2014/09/29アクセス:魚拓
*17:ウイルスメール開封し感染=日航顧客情報漏えい,時事通信,2015/01/21アクセス:魚拓
*18:情報漏えいは4131人分 日航の不正アクセス,産経新聞,2015/01/21アクセス:魚拓
*19:JALが顧客情報漏洩の可能性、最悪の場合75万件,ITpro,2014/09/24アクセス:魚拓
*20:JALマイレージ会員情報など75万件流出か,日本経済新聞,2014/09/24アクセス:魚拓
*21:日航情報流出は4131人、謝罪しQUOカード,読売新聞,2015/01/21アクセス:魚拓