JAL顧客データ漏洩が判明、企業が今すべき対策2024年12月のDDoS攻撃に続く新たな侵害事案が発生

JALが顧客データ漏洩を確認──2024年7月以降の利用者が対象

日本航空（JAL）が2026年2月9日にサイバー攻撃を受け、顧客データの漏洩が確認されました。SharkStriker / DataBreachTodayの報道によると、2024年7月以降にサービスを利用した顧客の個人情報が流出しています。日本の基幹インフラを担う航空会社への攻撃が続く中、企業のセキュリティ体制見直しが急務となっています。

流出した情報と攻撃の詳細

今回の攻撃で流出が確認されたのは、氏名、電話番号、メールアドレスに加え、出発空港・到着空港、ホテル名、便名といった旅行関連情報です。これらの情報は単なる連絡先データとは異なり、個人の行動パターンや移動履歴を把握できる機密性の高い内容を含んでいます。攻撃者がこれらの情報を悪用すれば、標的型フィッシングや詐欺行為に利用される危険性があります。

注目すべきは、今回の攻撃が2024年12月に発生したDDoS攻撃とは別の侵害事案である点です。2024年12月の攻撃ではシステム障害とフライト遅延が発生したものの、当時JALは「データ漏洩なし」と発表していました。しかし今回の事案により、同社が複数の攻撃経路から継続的に狙われていることが明らかになりました。

航空業界が直面するサイバーリスクの実態

航空業界はその公共性の高さから、サイバー攻撃の格好の標的となっています。予約システム、運航管理システム、顧客データベースなど、複数のシステムが相互接続されており、一箇所の脆弱性が連鎖的な被害を引き起こす構造になっています。

さらに、航空会社はVMwareバックアップ製品やリモートアクセスツールなど、様々なITソリューションを利用しています。これらのツールは業務効率化に貢献する一方で、攻撃者にとっての侵入経路を増やす結果にもなっています。実際、リモートアクセスツールの脆弱性を突いた攻撃は世界的に増加傾向にあり、日本企業も例外ではありません。

JALへの攻撃が2024年12月と2026年2月の2度にわたって発生した事実は、攻撃者が特定の企業を執拗に狙い続ける傾向を示しています。一度攻撃を受けた企業は、対策を講じた後も継続的に監視・攻撃される可能性が高いと認識すべきでしょう。

自社で今すぐ実施すべき対策

今回のJALの事例から、企業が学ぶべき教訓は多くあります。まず、自社のセキュリティ体制を点検し、以下の対策を検討することをお勧めします。

第一に、顧客データの保管状況を見直すことが重要です。どのような情報を、どこに、どのような形式で保管しているかを棚卸しし、本当に必要な情報のみを保持する方針に切り替えることで、万が一の漏洩時の被害を最小化できます。

第二に、不正アクセスの検知体制を強化する必要があります。JALが2月9日に不正アクセスを検知できたのは、監視体制が機能していた証拠です。しかし、攻撃を検知してから被害を食い止めるまでの時間を短縮するためには、SIEM（セキュリティ情報イベント管理）やSOAR（セキュリティオーケストレーション自動化）の導入が効果的です。

第三に、従業員向けのセキュリティ教育を定期的に実施することが求められます。フィッシングメールや不審なリンクへの対処法を全社員が理解していれば、攻撃の初期段階で被害を防げる可能性が高まります。

第四に、インシデント発生時の対応手順を事前に策定しておくことが不可欠です。どの部門が何を担当し、どのタイミングで外部に公表するかを明確にしておくことで、有事の際の混乱を防げます。

第五に、サプライチェーン全体のセキュリティ状況を確認することも重要です。自社だけでなく、取引先や委託先のセキュリティレベルが自社のリスクに直結することを認識し、定期的な監査や情報共有の仕組みを構築すべきです。

まとめ

JALが2度目のサイバー攻撃被害を受けた事実は、日本の基幹インフラ企業が継続的に狙われている現状を浮き彫りにしました。顧客の行動パターンを含む旅行関連データの流出は、プライバシーリスクの観点からも深刻です。

自社のセキュリティ体制に不安がある場合は、専門家への相談をお勧めします。GXOは180社以上の支援実績を持ち、セキュリティ診断からSOC構築、インシデント対応まで一貫したサポートを提供しています。まずは現状の課題整理から始めてみてはいかがでしょうか。

GXOに相談する