JALマイレージ会員の個人情報流出 最大75万件 社内PCにマルウェア、遠隔操作か

[ITmedia]

　日本航空（JAL）は9月24日、同社の顧客管理システムが不正アクセスを受け、「JALマイレージバンク」会員の個人情報最大75万件が漏えいした恐れがあると発表した。社内の一部PCにマルウェアが仕込まれ、遠隔操作で外部にデータが送られた可能性があるという。

　流出した可能性があるのは、マイレージ会員の氏名、生年月日、住所、電話番号、勤務先、電子メールアドレス、会員番号、入会年月日などだが、具体的な中身は特定できていないという。

　流出した件数も特定できていないが、外部に送信されたデータ量は把握しており、1人当たりの情報量で割ると11万件になるが、データが圧縮されていた場合は最大75万件に上ると推定している。JALマイレージ会員の総数は2800万。

　原因は特定できていないが、社内のPCにマルウェアが仕込まれ、外部からの遠隔操作ができる状態になっていた可能性があるという。マルウェアは7月30日以降、23台のPCに仕込まれ、うち12台が顧客管理システムにアクセスできる端末。実際に外部にデータを送信したPCは7台だったという。8月18日以降、外部にデータが送信された可能性があるという。

　9月19日にデータベースへのアクセスが集中し、レスポンスが遅延。特定プロセスを削除して問題は解消したが、22日の昼前に問題が再発し、調査したところ、通常使用されていないPCから顧客管理システムにシステムにアクセスがあったことが判明。24日に不正アクセスを確認したという。