これで終わりではない!JAL個人情報漏えい

JAL

JALにおいて最大75万人分の個人情報漏えいが明白となった。会員番号、住所、氏名、生年月日等の情報である。これはもはや単なる個人情報漏洩ではない!ユーザ(顧客)に対する不正アクセスの第一歩なのである。

顧客情報システムにアクセスできる弊社内パソコンの一部に悪意のあるプログラムが仕込まれたことにより、JALマイレージバンク(JMB)会員のお客さまの個人情報が漏えいした可能性があることが判明いたしました。

出典:JAL顧客情報システムへの不正アクセスによる個人情報漏えいの可能性について

JALから上記のように大量の個人情報が漏れた可能性が高いという報告がありました。その後の発表でJAL社員の一般に利用するパソコンがマルウェア(コンピュータウイルス)に感染し、顧客(JALでのJMB会員)データベースにアクセスすることにより、その情報を外部に漏えいさせたようです。なぜ、マルウェアに感染したのか、それが標的型攻撃によるものなのか、あるいは内部規定に違反して、マルウェアを持ち込むような操作を行ったのか、はたまた社員が故意に情報漏えいを行ったのか、調査を現在行っているところでしょう。しかし重要なのは、この情報漏えいが単なる情報漏えいでないところです。

ほんの半年ほど前に、このJMB会員への不正ログインが起こり、会員のマイレージが奪い取られるという事件が起きました。必ずしも大量の不正ログインがあったわけではなく、数十件程度であった考えられています。

日本航空(JAL)は2014年2月3日、同社が運営する「JALマイレージバンク(JMB)」の会員Webサイトへの不正ログインが判明し、JMB会員になりすました第三者がマイルを特典に交換するトラブルが多数発生していたことを発表した。

出典:ITpro:JALマイレージWebサイトに不正アクセス、約2700万人にパスワード変更を依頼

JALではこの対処法として、マイレージが換金されない処置を一時的に取り、さらに根本的に不正ログインを防ぐ手段を講じている最中でした。マイルを得点と交換する際に生年月日で改めて認証することも行っていたのです。

しかし今回の情報漏えいが単なる情報漏えいでない理由は、この不正ログインを助長する情報漏えいだからです。JALから漏れた情報は以下の通りです。

○会員番号(お得意様番号)

○入会年月日

○お名前

○生年月日

○性別

○ご自宅(郵便番号・ご住所・お電話番号・FAX番号)

○ご勤務先(会社名・郵便番号・ご住所・お電話番号(内線)・ご所属部門名・お役職)

○電子メールアドレス(パソコン、携帯メール)

出典:JAL顧客情報システムへの不正アクセスによる個人情報漏えいの可能性について

もちろん、住所、氏名、勤務先、さらにメールアドレスが漏れている事は重大な問題ですが、それ以上に、個々の会員がログインする際に必要な会員番号と生年月日が漏えいしていることが問題なのです。まず不正ログインを防ぐ壁になっていたのは、会員番号と暗証番号なのです。会員番号は9桁の数字、暗証番号は6桁の数字であり、この双方が秘匿される事によってパスワードとしての働きがあり、不正なログインを防いでいたのです。半年以上前の不正ログインも、原因が特定されているわけではありませんが、搭乗券等に書かれた会員番号が会員の不注意で漏えいし、それに暗証番号が推測されることによって不正ログインが行われたと推定されます。今回、この9桁の会員番号が漏えいする事によって、不正ログインに対して秘匿されるべき情報のほとんどが漏れる事になり、不正ログインが極めて容易になっているのです。

JALが改めて推奨するように暗証番号を無意味な6桁にすることは必須としても、それでもパスワードとしての効果は期待できませんから、不正アクセスが起こりえるという前提で利用すべきかも知れません。