JALは10月29日、9月24日に発表したJAL顧客情報システムへの不正アクセスによるマイレージサービス「JALマイレージバンク(JMB)」の個人情報漏えいに関して、漏えい情報の特定とともに現在の調査状況を発表した。

10月29日にJALが発表した中間報告

最大73万件に変更はなし

顧客情報システムの反応が遅くなる事象が発生した2日間(9月19日,22日)について、さらに詳細な調査を実施したところ、悪意のあるプログラムにより顧客情報データが抜き取られて漏えいした可能性のある顧客情報の件数は、約19万人分という見込みから7万9,093人分であることが判明した。

また、新たに4,131人分の漏えいの事実が初めて判明したため、合計で8万3,224人の個人情報が漏えいした可能性が高いという。該当する4,131人には個別にeメール、郵送およびJMB会員ログインページにて連絡を行っている。

この8万3,224人分のうち、最大約2万1,000件と報告されていた悪意のある外部サーバに送信されたデータ件数は、今回新たに判明した4,131人を含めて9,745件(通信量から試算した、実際に外部に送信されたデータ件数)であることが判明した。

また今回、外部サーバに対して何らかの送信が開始された7月30日から9月18日までの詳細な調査により、ウィルスプログラムの試験動作で139人分の顧客情報が漏えいしている可能性が初めて判明した。該当となる顧客には、個別にeメール、郵送およびJMB会員ログインページにて連絡を行っている。

なお、悪意のある外部サーバに送信されたデータ件数は、通信量から試算すると最大73万件である状況に変更はなく、現在、情報の特定のため引き続き調査を実施している。

キャンペーン登録情報などの漏えいの可能性も

漏えいの可能性が疑われるのは、JALマイレージバンク会員の会員番号、入会年月日、名前、生年月日、性別、自宅情報(郵便番号・住所・電話番号・FAX番号)、勤務先情報(会社名・郵便番号・住所・電話番号(内線)・所属部門名・役職)、電子メールアドレス(パソコン、携帯メール)。パスワードおよびクレジットカード番号の漏えいは確認されていない。

加えて、今回新たに漏えいの可能性が判明した139人については、キャンペーン登録情報やFLYON資格情報などの情報についても漏えいの可能性があるという。また、「Amazonギフト券への特典交換サービス」については、9月24日に再開を予定していたが、セキュリティ上の対応を進める必要が生じたため、再度延期している。

現在、同システムにアクセスできるパソコンに対しては、外部への接続を停止するなどの必要な対応に加え、緊急セキュリティ対策を実施している。また、今後新たに社内に検証委員会を設置し、社内調査の検証や当社のITシステム全般に関わる問題点の検証などを行うことで、セキュリティの一層の強化などを行い、再発防止に向けて全力で取り組んでいるという。

なお、さらなる事態の詳細な解明については、現在も社外のセキュリティ専門会社の協力を得ながら、原因を含めて調査を継続するとともに、警察機関とも連携を取りながら進め、新たな事実が分かり次第、あらためて発表するという。