ブログトップ 記事一覧 ログイン 無料ブログ開設

piyolog RSSフィード

2014-09-24

日本航空の顧客管理システムへの不正アクセスについてまとめてみた

| 19:50 |  日本航空の顧客管理システムへの不正アクセスについてまとめてみたを含むブックマーク

2014年9月24日、日本航空(以降JALと表記)が同社のPCがウイルス感染し、顧客情報(JALマイレージバンク会員情報)が流出した可能性があると発表しました。ここではその関連情報をまとめます。

公式発表

JALへの問い合わせ窓口

<電話番号>

0120-25-9750(フリーダイヤル)※携帯電話、及びPHSからも通話可能

03-6740-1361(有料ダイヤル)

<営業時間>

平日 08:00〜21:00

土・日・祝日 09:00〜17:30

https://www.jal.co.jp:443/info/other/140924.html

概要まとめ

f:id:Kango:20150121212240p:image:w640

(1) インシデントタイムライン

日時出来事
2014年3月JAL社員がメールに添付されたマルウェア感染
2014年7月30日以降顧客情報管理システムへの不正アクセスが発生
2014年8月18日以降顧客情報管理システムから顧客情報が流出した可能性
2014年9月18日以前顧客情報管理システムからサンプル的に抜き出された期間
2014年9月19日 11時30分顧客情報管理システムへのアクセス集中が発生し、応答が悪化する障害が発生。
2014年9月19日 23時頃JALが対策を行い顧客情報管理システムへのアクセス集中が収束
2014年9月22日 11時頃顧客情報管理システムへのアクセス集中が再び発生。
2014年9月24日JALが顧客情報管理システムから情報流出したことを確認。
JAL不正アクセスによる情報流出について発表。
JAL不正アクセスを受け*1マイレージAmazonギフト券交換対応の再開延期を発表。
JAL警視庁へ被害相談を開始。
JAL国土交通省へ当該事案に関する届出
2014年9月29日JALが会見を開き流出の詳細について発表。
2014年10月29日JALが中間報告を発表。
JAL検証委員会を発足。
2014年10月31日第1回検証委員会が開催
2014年11月12日第2回検証委員会が開催
2014年11月19日第3回検証委員会が開催
2014年11月中旬JAL内部の調査(一次・二次)実施。
2014年11月21日JAL役員会に最終報告書を提出。
2014年11月26日第4回検証委員会が開催
2014年12月10日第5回検証委員会が開催
2014年12月17日第6回検証委員会が開催
2014年12月24日第7回検証委員会が開催
2015年1月7日第8回検証委員会が開催
2015年1月14日検証委員会答申
2015年1月21日JALが最終報告、検証報告を発表。

(2) 被害状況

被害を受けたシステム、端末
  • JALの顧客情報管理システム「VIPS」から顧客情報が流出した可能性
    • VIPSではJALマイレージバンク会員 約2800万人(国内会員2400万人、国外会員400万人)の顧客情報を管理している
  • 社内のPC 23台がマルウェア感染
流出した可能性のある件数
推定最大流出件数9月18日以前 約73万人分
7月29日以前の漏洩現在のところ確認されていない
7月30日〜9月18日139名分
9月19日、22日にVIPSから取得された件数19万337人分*2 →10/29更新 79,093人分+新たに判明した4,131人分(合計83,224人分)
9月19日、22日のデータサイズからの2日間の推定流出件数最大2万1000人分 →9,745人分に訂正→4,131人分に訂正
  • 流出件数は送信されたデータサイズから試算している。
  • 試算方法は送信された総データ量を一人あたりのデータ量で単純に割ったもの。
  • データが圧縮されていた場合は最大で75万人となる。
  • 送信されたデータ全てが顧客情報かどうかは不明。*3
  • 2014年10月29日時点で被害に関する報告は受けていない。*4
  • マルウェア感染したPCから83,224人分の情報が確認された。
  • RAR形式ファイルが残存しており、ファイルに4,131人分の情報が含まれていた。
  • RARファイルのサイズと社外への通信記録が一致しており、当該ファイルが送信されたと判断。
流出した可能性のあるJALマイレージバンク会員情報の詳細
  • 9月18日以前に取得された情報はさらに次の様な情報が含まれる。
    • キャンペーン登録情報
    • FLYON資格情報
    • など
顧客情報管理システム「VIPS」へ行われた不正アクセスの詳細
マルウェア感染していたPCの詳細
マルウェア感染していたPC23台
(内訳)
天王洲本社 22台
福岡支店コールセンター 1台
社外へデータを送信していたPC本社のPC 7台
19,22日にデータを送信したPC 4台
JAL社内のPC約1万6千台
VIPSへ接続可能なPC約1800台
その内12台がマルウェア感染
  • 23台全てウイルス対策ソフトが導入されていた。
  • OSWindows7
  • USBメモリの接続は許可されていなかった。
  • メールの送受信は可能。
  • ウィルス対策ソフトやJALネットワーク監視システムでは検知されなかった。
  • データを抜き出すコマンドを実行したのは5台
  • さらにその内データを社外に送信したPCは3台
不正にアクセスされたPCの詳細
  • 最終報告書により不正にアクセスされたとされる業務端末は次の通り。
  • 香港サーバと通信したことが確認された業務端末
  • 社内ネットワークの管理者権限で不正にアクセスされたことが確認された業務端末
  • 既知のマルウェアないし不正なタイマー設定等の痕跡が確認された業務端末
マルウェアに関する情報
  • 以下の機能が確認されている。
    • サーバーからデータを抜き出す機能
    • システムより抽出したデータを圧縮する機能

(3) 発端

  • 2014年9月19日、22日にシステムの反応が遅くなる障害が発生したことによる。
    • 9月19日は負荷のかかる検索が実行された可能性として通常障害との認識で対応を行った。*12
    • 19日は特定のプロセスを削除することで対応した。*13
    • 普段使われないPCからのアクセスが行われていた。*14
    • 通信記録を確認したところ外部への情報流出を確認した。

(4) 原因

  • 2014年9月29日時点で侵入経路の特定はできていないが、標的型攻撃を受けた可能性があると発表。*15 *16
  • 2015年1月21日発表の最終報告において、マルウェアが添付されたメールを受信し、マルウェアを実行してしまったことによりPCが感染したと報道*17
    • 社外アドレスから受信したメールであったが文中に業務用語が使用されていたことから開封してしまった。
    • 受信、感染したのは2014年3月頃*18

(5) 対応

  • VIPSへアクセスできる全てのPCの外部接続を遮断
  • VIPSへ情報抜き出しに用いられたコマンドによる参照を禁止*19
  • 顧客情報流出の可能性について発表
  • 外部のセキュリティ専門組織による流出情報や原因の特定
  • 警視庁へ被害相談*20
  • 顧客問合せ対応の特設窓口の設置
  • プロキシサーバーの監視強化
  • 業務アプリケーションを動作させるPCのインターネット接続の遮断
  • 流出した可能性のある顧客約19万人へメールでの連絡
JALの調査にあたった組織
最終報告を受けての対応
  • 最終報告概要、検証報告要約の発表
  • 漏えいが確定したユーザーへ金券の配布(QUOカード500円) *21

その他

  • JAL2014年2月に発生した不正ログインと今回の件について関連は今のところ全くないとコメントしている。
JALパスワードポリシー

更新履歴

  • 2014年9月24日 PM 新規作成
  • 2014年9月24日 PM イメージ図追加
  • 2014年9月29日 PM JALの中間発表の内容を反映
  • 2014年10月29日 PM JALの中間発表の内容を反映
  • 2015年1月21日 PM JALの最終発表の内容を反映

*1JAL、アマゾンギフト券への交換再開を延期 不正アクセス発生で,2014/09/24アクセス:魚拓

*2JAL、不正アクセスで中間報告 植木社長「深くお詫び」,AviationWire,2014/09/29アクセス:魚拓

*3JAL、不正アクセスで大量の顧客情報を流出--抜き取りコマンドを確認,ZDnetJapan,2014/09/24アクセス:魚拓

*4日航、会員情報4000人分流出 不正アクセスで,日本経済新聞,2014/10/30アクセス:魚拓

*5JAL個人情報漏えい、6桁暗証での危険性,読売新聞,2014/10/29アクセス:魚拓

*6JALマイレージ会員75万人分情報漏えいか,日刊スポーツ,2014/09/24アクセス:魚拓

*74131人分の漏えい確認=PCウイルス感染で―日航,時事通信,2014/10/29アクセス:魚拓

*8日航、顧客情報漏洩「メールから侵入の可能性高い」 ,日本経済新聞,2014/09/29アクセス:魚拓

*9JAL、4131人分の情報流出特定 不正アクセスで,Aviation Wire,2014/10/29アクセス:魚拓

*10日航、75万人分の情報漏えいか 不正アクセスで,共同通信,2014/09/24アクセス:魚拓

*1175万人分の情報漏えいか 日航、不正アクセス,産経新聞,2014/09/24アクセス:魚拓

*12JAL、個人情報漏えいの可能性 最大75万人、標的型攻撃か,AviationWire,2014/09/24アクセス:魚拓

*13JALマイレージ会員の個人情報流出 最大75万件 社内PCにマルウェア、遠隔操作か,ITMedia,2014/09/24アクセス:魚拓

*14JALで情報流出、マイレージ会員情報など最大75万件の可能性も,ITMedia,2014/09/24アクセス:魚拓

*1575万人分の情報流出か 日本航空がウイルス被害,テレビ朝日,2014/09/25アクセス:魚拓

*16JAL、顧客情報流出でセキュリティ強化 全容解明に数週間,ロイター,2014/09/29アクセス:魚拓

*17ウイルスメール開封し感染=日航顧客情報漏えい,時事通信,2015/01/21アクセス:魚拓

*18情報漏えいは4131人分 日航の不正アクセス,産経新聞,2015/01/21アクセス:魚拓

*19JALが顧客情報漏洩の可能性、最悪の場合75万件,ITpro,2014/09/24アクセス:魚拓

*20JALマイレージ会員情報など75万件流出か,日本経済新聞,2014/09/24アクセス:魚拓

*21日航情報流出は4131人、謝罪しQUOカード,読売新聞,2015/01/21アクセス:魚拓