JALが情報漏えいで中間報告 　4131件の流出を断定、計1万件の流出が濃厚

   日本航空（JAL）の「マイレージバンク」の顧客情報が最大75万件流出した可能性がある問題で、同社は2014年10月29日、2回目の中間調査の結果を発表した。

   主に顧客管理システムに対する攻撃が行われた9月19日と21日の2日間に4131件が流出したことが確実になった。この4131人には順次連絡を進めており、何らかの補償を行う方針だ。

3台の社内PCがシステムからデータ抜き出して外部に送信

JALの顧客情報のうち4131分の流出が確実になった

   今回の中間報告によると、社内のPC20台が「マルウェア」と呼ばれる悪意のあるプログラムに感染し、外部に何らかのデータを送信したことが明らかになっている。この20台のうち、5台が顧客情報システムから顧客データを抜き出すコマンド（命令）を送信。コマンドを受け取った顧客システムからPCに対して顧客情報が送られ、3台のPCが顧客情報を香港のIPアドレスを持つ外部サーバーに情報を送信していた。

   情報流出は、9月19日と22日にシステムの反応が遅くなる障害が発生したことをきっかけに発覚。主にこの2日間に攻撃が行われたとみている。これまでの発表では、この2日間に顧客管理サーバーから社内PCに対して19万337人分のデータが抜き出されたと推定。さらに、これらのPCから送られたデータが、外部ネットワークとの「関所」の役割を果たす「プロキシサーバー」と呼ばれるサーバーを、最大2万1000人分通過していた可能性があるとしていた。

5614人について今後特定作業を進める

   外部に送信された可能性のある2.1万件は、精査の結果9745件に減少。そのうち、新たに発見された4131人のファイルの内容はサーバーの通信記録と一致し、流出が確実になった。流出したのは、（1）会員番号（2）入会年月日（3）氏名（4）生年月日（5）性別（6）自宅住所、電話番号（7）勤務先名、勤務先住所、電話番号、所属部門（8）電子メールアドレス。この4131人についてはパスワードやクレジットカード番号の流出は確認されていない。残る5614人も流出した可能性が高いが、「誰のデータか」までは特定されておらず、今後特定作業を進める。

   JALは9月29日に開いた役員会で、社外取締役2人と社外監査役3人、監査法人でつくる「独立役員検証委員会」を立ち上げることを決め、調査と再発防止策の検討を進める。