Yahoo!ニュース

やはりこれで終わりでなかった!? JAL個人情報漏えい

森井昌克神戸大学 名誉教授
JAL 日本航空

やはり顧客の個人情報は漏えいしていました。不正アクセス発覚後の詳細な解析によって、漏えいが確認されたのです。なぜ発覚後一ヶ月以上経たなければ、詳細の一部もわからないのでしょう。それは単なる「もの」の窃盗とは異なり、解明には時間がかかるからです。しかしながら、公共サービスに近い大手航空輸送会社としては、その経過や対策、およびその進捗について、逐次かつ早急に告知する必要があるでしょう。

JALは10月29日、9月24日に発表したJAL顧客情報システムへの不正アクセスによるマイレージサービス「JALマイレージバンク(JMB)」の個人情報漏えいに関して、漏えい情報の特定とともに現在の調査状況を発表した。

出典:JAL、不正アクセスでの個人情報漏えい報告--4,131人増で特定情報8万3,224人: マイナビニュース

不正アクセスによる情報漏えい可能性の発覚から一ヶ月、現在、判明している漏えい調査の途中経過が発表されました。その中で、可能性ではなく、確実に4,000人以上の個人情報が意図せず、JAL外部に流出している事が判明しました。しかもこれで終わりではなく、誰の個人情報であるのかは特定されていないものの5,000人以上の情報が確実に漏えいし、さらに、まだ80万人以上の個人情報が漏えいしている可能性があり、その精査中なのです。

なぜ、一ヶ月以上も調査しなければ確実な事がわからないのでしょう。また一ヶ月以上経っても、ほんの一部しか調査できないのでしょうか。実は不正アクセスの可能性について、比較的、その事実が早く判明できたとしても、その不正アクセスによって何が行われたかを詳細に解明する事は極めて難しいのです。

内部犯罪が行われず、外部からネットワーク経由で不正アクセスが行われ、個人情報データがネットワーク経由で外部に漏えいしたとしても、その全容を解明する事は難しいのです。実際の「もの」の盗難であれば、帳簿が存在し、その帳簿との突合によって判明します。情報システムの場合、その帳簿に対応するものがアクセスログです。しかしアクセスログはネットワーク上を流れるすべての情報について詳しく記述されているわけではなく、さらにやっかいなのは、アクセスログ自体が改ざんされている可能性もあるのです。その必ずしも信頼性が高くないアクセスログ、つまり帳簿から何が漏えいしたか、つまり盗まれたかを解明しなければならないのです。80万人以上の個人情報漏えいの可能性とは、アクセスログから80万人分に相当するデータ量が不正なサイトに流れていたことが判明したということです。これが本当に個人情報であるか否かは不明なのです。言うなれば、荷物が盗まれ、それがトラック1台分であることはわかっているのですが、中身が何であるかわからないことに相当します。盗まれた量はわかっていても、その内容がわからないのです。

不正アクセスが発覚してから一ヶ月以上たったとはいえ、途中経過を報告したことは評価できるますが、やはり詳細な対策も含めて、期限を切った計画的な調査報告、対策およびその進捗報告が望まれます。

しかし今回の情報漏えいが単なる情報漏えいでない理由は、この不正ログインを助長する情報漏えいだからです。JALから漏れた情報は以下の通りです。

出典:これで終わりではない!JAL個人情報漏えい: YAHOO!ニュース(個人)

JALが漏えいさせた個人情報を確定させる事は重要ですが、その結果に関わらず、JALのユーザ以外も含めて、個人情報は少なからず漏れているものと考えて、すべてのネットアークアクセス、サービスを享受するほうが無難でしょう。

神戸大学 名誉教授

1989年大阪大学大学院工学研究科博士後期課程通信工学専攻修了、工学博士。同年、京都工繊大助手、愛媛大助教授を経て、1995年徳島大工学部教授、2005年神戸大学大学院工学研究科教授(~2024年)。近畿大学情報学研究所サイバーセキュリティ部門部門長、客員教授。情報セキュリティ大学院大学客員教授。情報通信工学、特にサイバーセキュリティ、情報理論、暗号理論等の研究、教育に従事。内閣府等各種政府系委員会の座長、委員を歴任。2018年情報化促進貢献個人表彰経済産業大臣賞受賞。 2019年総務省情報通信功績賞受賞。2020年情報セキュリティ文化賞受賞。2024年総務大臣表彰。電子情報通信学会フェロー。

森井昌克の最近の記事