カンタス航空の600万人顧客情報漏えいを考察

2025年7月1日から2日にかけて、カンタス航空は、同社のマニラ事業に関連するサードパーティのコールセンタープラットフォームにサイバー犯罪者が不正アクセスし、6月30日に約600万人の顧客データに侵害があったことを明らかにしました。漏えいした顧客情報には以下のものが含まれます： 

• 氏名

• 電子メールアドレス 

• 電話番号 

• 生年月日 

• フリークエントフライヤー番号  (マイレージプログラムの会員番号) 

同社の発表によると： 

• クレジットカード、パスポート、ログイン認証情報、金融データへのアクセスはありません 

• フリークエントフライヤーのアカウントの安全性は維持されており、本日までに不正利用の報告はありません 

• Qantasは影響を受けたシステムを隔離し、当局 (AFP、ACSC、OAIC) に通知し、外部のサイバーセキュリティ専門家による調査を開始しました 

この侵害には、ビッシング (Vishing - 電話や音声メッセージを悪用したフィッシング詐欺) やソーシャルエンジニアリングが関連している可能性が高く、ハッキンググループScattered Spiderが関与している可能性があります。 

いいえ、過去数年間に数百とは言わないまでも数十件の同様の事例がありました。ここでは、航空会社が関与したいくつかの事例を紹介します。 

カンタス航空の侵害と最もよく似た事例の一つは、2018年のブリティッシュ・エアウェイズのハッキングです。攻撃者は、航空会社の決済ページで実行されているサードパーティのJavaScriptを侵害し、約40万人の顧客から名前、電子メールアドレス、クレジットカード情報を盗み出しました。サプライチェーンの侵害という手法は、攻撃者が外部のサービスプロバイダーを通じて信頼されたプラットフォームに侵入する際に使われる方法と似ています。英国の情報コミッショナー事務局 (ICO) は、セキュリティ管理が不十分だったとして、GDPR (一般データ保護規則) の枠組みの下でブリティッシュ・エアウェイズに2000万ポンドの罰金を科しました。 

2021年には、複数の航空会社の旅客サービスシステムを管理するITベンダーSITAが侵害され、エア・インディアがセキュリティ侵害を受けました。その結果、乗客の名前、マイレージサービス番号、航空券の詳細などを含む、約450万人のデータが流出しました。この事例が注目されたのは、問題が航空会社自身のシステムではなく、信頼できるサードパーティ処理業者のシステムに起因していた点にあります。これは、カンタス航空が外部委託したコールセンターで経験した事例と構造が非常に似ています。 

2018年のキャセイパシフィック航空のセキュリティ侵害も、攻撃者が時間をかけて静かにシステムに侵入し、940万人の乗客のデータを盗んだことで注目を集めた事例です。流出した情報には、顧客の渡航履歴、IDカード番号、パスポート情報が含まれていました。航空会社の対応の遅れと侵害の早期発見の失敗は、深刻な評判の悪化につながり、英国の規制当局から50万ポンドの罰金を科されました。 

財務データが含まれていなくても、個人識別情報の流出は深刻な脅威となります。 

• 標的型フィッシングやビッシング：攻撃者は、ユーザーのデータを使って非常に巧妙な詐欺を仕掛けることができます。 

• SIMスワップとMFA (多要素認証) バイパス：電話番号を使用すると、攻撃者がSMSベースの認証を傍受する可能性があります。 

• フリークエントフライヤー詐欺：フリークエントフライヤー番号の不正利用は、不正な予約や特典の不正利用を引きおこし、金銭的損失につながる恐れがあります。 

• アイデンティティ盗難：生年月日、電子メールアドレス、電話番号などが他の漏えい情報と組み合わされることで、本人になりすまして、アカウントを開いたりすることができます。 

１．カンタス航空からのメールや電話に注意する 

• カンタス航空 (または関連サービス) を名乗る不審な電話、電子メール、テキストはすべて、疑いを持って慎重に対応してください。 

２．フリークエントフライヤーアクティビティを確認する 

• カンタス航空のアカウントを定期的にチェックして、不審なポイント利用や予約がないか確認してください。 

• 異常があればすぐに報告しましょう。 

３．強力な認証を有効にする 

• 特に電子メールと旅行関連のアカウントを含むすべてのアカウントで、MFA (SMSではなく認証アプリが望ましい) を有効にしましょう。 

４．パスワードを変更する 

• 情報が漏えいしていないと伝えられていた場合でも、カンタス航空のパスワードを変更することを推奨します。このような調査には数か月かかることがあり、後から追加の情報漏えいが判明する可能性があります。 

５．疑わしいアクティビティを監視する 

• セキュリティアプリやサービス (クレジット監視、ダークウェブ監視など) のアラート設定を活用して、不正利用を早期に検知できるようにします。 

• 特に機密性の高い顧客データを扱うベンダーを含むすべてのサードパーティベンダーに、ゼロトラストポリシーを適用します。 

• サードパーティのアクセスを監査し、制限します。特に、インフラストラクチャが脆弱なアウトソーシングされたコールセンターからのアクセスを監査します。 

• サードパーティプラットフォームでPII (個人識別情報) のトークン化または匿名化を使用します。 

• 異常なIPまたは場所からの疑わしいデータアクセスに対して、リアルタイムの異常検出を実装します。 

• すべての現場スタッフに対して、定期的なソーシャルエンジニアリングとフィッシング対策トレーニングを実施します。