日本航空(JAL)は9月24日、同社の顧客情報システムにアクセスできるPCがマルウェアに感染し、JALマイレージバンク(JMB)会員の個人情報が漏えいした可能性があると発表した。

同社が事態を把握したのは22日。2800万件の顧客情報を管理する顧客情報システムにアクセスできるPCの一部にマルウェアが仕掛けられており、外部にシステムのデータを送信していたことがわかった。

送信データを解析したところ、データ量から見て、通常であれば11万件、データを圧縮して送信していた場合には最大で75万件の情報が外部に送信されていたことが判明した。残りの2700万件強の個人情報については「漏えいしていない」(広報部)としている。

同社では、ただちにデータを送信していたIPアドレスへの通信を遮断する対策を講じており、同システムにアクセスできる全てのPCの外部接続も遮断しているという。詳細な原因については、現在も調査を行なっており、追ってお知らせするとしている。

なお、漏えいした情報は

  • 会員番号(お得意様番号)

  • 入会年月日

  • 名前

  • 誕生日

  • 性別

  • 自宅の郵便番号、住所、電話番号、FAX番号

  • 勤務先の会社名、郵便番号、住所、電話番号(内線)、所属部門名、役職

  • メールアドレス(PC、携帯)

で、これらの情報は暗号化処理などを行なっておらず、平文で保存していた。一方で、同社によるとパスワードとクレジットカード番号については漏えいしていない。

JALでは2月に不正ログイン被害を受けており、「Amazonギフト券への特典交換サービス」の受付を停止していた。9月24日からサービス再開を予定していたが、今回の情報漏えいを受け「セキュリティ上の対応を進める必要が生じた」ため、再開を延期するとしている。