2014年9月、日本航空(以下JAL)において、マイレージ会員の個人情報が、社内PCのウィルス感染により流出するという事件が起こりました。
当初情報流出の規模は最大75万件にも及ぶとの報道がなされましたが、その後約1ヶ月間行われた社内調査により確定した個人情報流出件数は4131名分だったことが分かっています。
今回は、JALの個人情報流出事件から考えられる“セキュリティ対策としての暗証番号”の危険性について考えてみたいと思います。
JAL個人情報流出事件の概要
この事件は、社外アドレスから社内の業務PCへ「マルウェア」が添付されたメールが送信されたことに始まります。
業界用語や専門用語が使用され、一見関係者と思える内容でメールが送られるこの様な手口は「標的型攻撃」と呼ばれ、サイバー攻撃の中でも大変メジャーな方法です。
JALでは、このメールを開封した結果、社内のPC23台がウィルスに感染。
そのうち12台が顧客情報システム(VIPS)にアクセスが可能だった為、情報の持ち出しが行われてしまったのです。
流出した可能性のある情報
- 会員番号(お得意様番号)
- 入会年月日
- 氏名
- 生年月日
- 性別
- 自宅(郵便番号/住所/電話番号/FAX番号)
- 勤務先(会社名/所属部署/役職/郵便番号/住所/電話番号)
- メールアドレス
- 攻撃者から送られたメールに添付された「マルウェア」による不正アクセスの影響で、JALの顧客情報システム(VIPS)では、スローレスポンスという事象が発生します。
そして、社内調査の結果“通常業務では発生しない方法で顧客情報がダウンロードされていた”ことが判明し、事件発覚となったのです。
個人情報流出後の対策
今回の個人情報流出を受け、JALでは下記対応が行われました。
会員への対応
QUOカード500円分(情報流出が確定した会員のみ)
社内情報セキュリティへの対策
- 危険サイトへの接続制限
- 全業務端末から外部にアクセスする際の認証要求の追加
- 新たなマルウェア検知機能による漏洩の防止
- JALのウェブサイトにおけるセキュリティ認証の強化
- メールに添付されたマルウェアを検知する仕組みの導入
- 社員へのITセキュリティ教育の強化
※1~3は緊急対策として行われたもの
個人情報流出で判明したセキュリティ上の問題点
この事件では、顧客のクレジットカード番号などは流出しておらず、顧客側での実質的な被害は報告されていません。また、特典交換等が行える「JALマイレージプログラム」(以下JMB)のパスワードも流出していなかった為、システム自体は事件後も稼働を続けていました。
しかし、ここで注意しなければいけない問題が、JMBへのログインに「数字6桁によるパスワード(暗証番号)」を用いている点です。
個人情報を認証情報として使用する危険性
今回の事件で流出した会員番号(お得意様番号)とは、“この人は誰か”ということを表す「識別情報」です。そして同時に、電話番号や生年月日といった「個人情報」も流出しています。
システムのログイン等で主に用いられるパスワードや暗証番号と言った認証情報には、識別情報や個人情報から連想される数字は用いないことが大前提とされていますが、JMBのパスワード登録時には生年月日や会員番号での入力をはじく設定はなされていませんでした。
つまり多くの会員が、自身が覚えやすい生年月日や会員番号をパスワードとして用いていたことが考えられるのです。
これはJMBのログインパスワードのみの問題ではありません。JMB会員がインターネットを介した他社サービスに複数登録している場合、それらのパスワードを知る鍵として個人情報が二次利用されてしまう危険性も含んでいるのです。
パスワード使い回しの危険性
一般的に、パスワードの使い回しは危険とされています。
しかし自分自身に関係のない番号を数パターン記憶する事は困難である為、実際には多くの使い回しが行われている現状があります。
パスワードの使い回しが行われることで、一度流出した情報を基に二次被害・三次被害を招く可能性もあり、実質的な被害がないとされているJALの個人情報流出に関しても、今後不正ログイン等の被害の引き金となってしまうことも考えられるのです。
JAL個人情報流出事件から学ぶ、真のセキュリティとは
JALでは、個人情報流出が起こる約2ヶ月前にJMBへのユーザーログインを独自2段階認証に強化していたことが知られています。(この2段階認証の方法に関しても指摘する部分が多いのですが、今回は割愛します)
しかし、いくらユーザー側の認証を強化し不正ログイン防止に努めたとしても、システムの根幹である運営側でウィルス感染が起こってしまっては、全く意味がありません。
日々進化する攻撃手法に対応するソリューションを導入する事も大切ですが、常にセキュリティリスクを意識し業務に携わるという企業としての姿勢が重要なのです。