文字サイズ
    ITジャーナリスト三上洋さんが、サイバー犯罪から身を守る術や情報流出対策などを解説します。

    JAL個人情報漏えい、6桁暗証での危険性

     日本航空(JAL)が24日、マイレージ会員の情報漏えい事件を発表した。社内のパソコンがウイルス感染したためで、最大75万件に及ぶ可能性がある。パスワードは流出していないものの、会員の生年月日が流出しているため危険な状態だ。(ITジャーナリスト・三上洋)

    最大75万件の個人情報が漏えいした可能性

    • 日本航空(JAL)によるマイレージ会員の情報漏えいに関するおわび
      日本航空(JAL)によるマイレージ会員の情報漏えいに関するおわび

     JALが深刻な個人情報漏えい事件を起こした。9月24日に発表されたもので、推定で11万件、データが圧縮されていた場合は最大で75万件の情報が流出した可能性がある。

     JAL広報部への電話取材を基に、事実関係をまとめておく。

    ●社内のパソコン23台がウイルス感染、そのうち12台が顧客情報システムにアクセス可能

     漏えいの原因は社内PCがウイルス感染したこと。JAL社内のパソコン23台がウイルス感染していた。そのうちの12台が、顧客情報システム・VIPSにアクセスできるものだった。

    ●7台のパソコンが顧客情報システム・VIPSにアクセスしていた

     ウイルス感染したパソコンのうち、7台が実際に顧客情報システム・VIPSにアクセスし、外部にデータを送信していた。送信先のIPアドレスは香港のもの。送信したデータ量から、11万件の流出を推定。もし圧縮されていた場合は75万件相当になる。

    ●流出した可能性のある情報

     ・会員番号(お得意様番号)
     ・入会年月日
     ・名前
     ・生年月日
     ・性別
     ・自宅(郵便番号・住所・電話番号・FAX番号)
     ・勤務先(会社名・郵便番号・住所・電話番号(内線)・所属部門名・役職)
     ・電子メールアドレス(パソコン、携帯メール)

    ●パスワード・クレジットカード番号などは流出していない

     JAL広報部によれば、パスワードやクレジットカード番号、マイレージのステータスはVIPSに保存されていないため流出の可能性はないとしている。

     社内のパソコンでのウイルス感染が原因であること、件数が多いこと、詳細な個人に関する情報が流出していることなど、かなり深刻な流出だと言えるだろう。

     ウイルスの感染ルートはわかっていない。これ以上の情報についてJAL広報部では「9月29日に行われる社長会見までに情報をアップデートしたい」としている。

     この件についてJALでは24日に「JAL顧客情報システムへの不正アクセスによる個人情報漏えいの可能性について」としておわびの文書を出している。パスワードは流出していないため、特典交換などのマイレージプログラムは通常どおり動いている(「Amazonギフト券への特典交換サービス」は停止中)。

    6桁の数字パスワード+誕生日データ流出による危険性

     ここで問題になるのは、JALマイレージ会員のシステムだ。JALマイレージプログラムへのアクセスは、会員番号とパスワードが必要だが、このパスワードは数字のみの6桁という、とても弱いものになっている。パスワードというより、暗証番号というべきだろう。なお7月31日から西暦+誕生日で確認するシステムも動いているものの、特典交換時に限られている。

     「数字6桁のパスワード」については、以前から危険性が指摘されている。JAL側では将来的にアップデートしたいとしながらも、現在でも数字6桁のパスワードのままだ。今回の漏えいでは、マイレージ番号と生年月日が流出している。もし仮に、パスワードに西暦の末尾2桁+誕生日を設定している人がいれば、マイレージプログラムにアクセスできてしまうことになる。

     JAL側では「誕生日などの推測されやすい番号は使わないでください」と呼びかけてはいる。しかし「誕生日をパスワードでNGにするしくみはない」(JAL広報部)とのことで、設定自体は可能だ。以前のパスワード(暗証番号)は4桁だったから、その延長で西暦+誕生日にしている人もいるだろう。西暦+誕生日を設定してしまっている人は、不正ログインされてしまう可能性がある。

     筆者が考えるもう一つの問題点は、JAL社内での運用ポリシーだ。顧客情報システムにアクセスできるパソコンが、インターネットに接続できること自体に危険性がある。標的型攻撃などによって、ウイルス感染する可能性があるからだ。

     これについてJAL広報部では「専用で使っているのではなく、社員の通常のパソコンだった」としている。顧客情報システムにアクセスできるパソコンは、専用のものにしてネット接続しないものにするべきだろう。

     現在のところ、ユーザー側の対策としてあるのは、「誕生日をパスワードにしている人は変更すること」ということ。流出対象となっているかどうかは、まだ判明していないので、今後の発表を待ちたい。

    2014年09月26日 18時22分 Copyright © The Yomiuri Shimbun
    プロフィル
    三上洋   (みかみ・よう
     セキュリティ、ネット活用、スマートフォンが専門のITジャーナリスト。最先端のIT事情をわかりやすく解き明かす筆力には定評がある。テレビ、週刊誌などで、ネット事件やケータイ関連の事件についての解説やコメントを求められることも多い
    おすすめ
    PR
    今週のPICK UP
    PR
    今週のPICK UP