エア・インディアが乗客情報の流出を発表、サイバー攻撃を受けたSITAのデータ漏洩被害は当初の想定より広範囲

世界的な航空輸送データ企業のSITAが、サイバー攻撃を受けたことによるデータ漏洩を報告してから3カ月が経過したが、いまだに被害状況の全貌は明らかになっていない。

インドのフラッグキャリア航空会社であるAir India(エア・インディア)は、同社のデータを管理していたSITAの事故から約450万人の乗客の個人データが漏洩したことを先週発表した。盗まれた情報には、乗客の氏名、クレジットカード情報、生年月日、連絡先、パスポート情報、航空券情報、Star Alliance(スターアライアンス)およびエア・インディアのマイレージサービス情報などが含まれていると、エアインディアは声明(PDF)で発表している。

クレジットカードのセキュリティコードはSITAのシステムに保存されていなかったとしながらも「個人データの安全性を確保するため、該当する場合は必ずパスワードを変更するように」と、同社は顧客に呼びかけている。

エア・インディアでは、今回のサイバー攻撃により、2011年8月26日から2021年2月3日までの間に、同社に登録された乗客のデータが漏洩したと声明で述べている。

この事実が明らかになったのは、SITAが顧客情報を含むデータ侵害の被害に遭ったことを発表してから3カ月近くも経ってからのことだ。SITAは当時、Malaysia Airlines(マレーシア航空)、Finnair(フィンエアー)、Singapore Airlines(シンガポール航空)、Jeju Air(済州航空)、Cathay Pacific(キャセイパシフィック航空)、Air New Zealand(ニュージーランド航空)、 Lufthansa(ルフトハンザドイツ航空)など複数の航空会社に情報漏洩を通知したと述べていた。

関連記事:全世界9割の航空会社が使う旅客システム企業SITAがサイバー攻撃を受けて乗客データ流出

スイスのジュネーブに本社を置くSITAは、世界の航空会社の90%にサービスを提供していると言われる。3月上旬の情報公開時点では、同社は現在も調査中であることを理由に、漏洩した具体的なデータを明らかにしなかった。

エア・インディアは、2021年2月25日にSITAからサイバー攻撃について最初の通知を受けたが、具体的なデータの種類については3月25日と4月5日になってから知らされたという。

多額の赤字を抱え国民の税金で生き延びてきたこのインドの航空会社は、セキュリティ被害の調査、侵害されたサーバーの安全確保、外部専門家(名称は明かされていない)との連携、クレジットカード発行会社への通知、マイレージプログラムのパスワードリセットなどの措置を取ったと主張している。

インドでは最近、他にも企業のデータ漏洩が相次いで報告されている。モバイル決済サービス大手企業のMobiKwik(モビクイック)は2021年3月下旬に、約1億人のユーザーの個人情報が流出したとされるデータ漏洩の調査を行っていると発表した。

また、4月下旬には、インド最大の食料品宅配サービス企業で、現在はTata(タタ)財閥が所有するBigBasket(ビッグバスケット)の顧客2000万人分の記録がサイバー犯罪フォーラム上に流出し、誰でもダウンロードできる状態になっていた。大手通信会社のJio Platforms(ジオ・プラットフォームズ)は、セキュリティの不備により、同社のツールを使ってコロナウイルスの症状をチェックした一部のユーザーの結果を流出させた。同様に、インドの西ベンガル州政府が運営するウェブサイトや、大手血液検査会社のDr Lal PathLabs(ドクター・ラル・パスラボ)でも、検査結果の流出被害に遭った。エア・インディアの同業他社であるSpicejet(スパイスジェット)も2020年、データ流出を確認している。

関連記事
2000万人分のインド食料品配達BigBasketのユーザーデータがオンライン公開か
Facebookも巨額出資するJio、新型コロナ症状チェッカーの結果を漏洩
850万人の大規模検査後、インドの州政府サイトが新型コロナ検査結果を外部閲覧可能な状態に

カテゴリー:セキュリティ
タグ:エア・インディアデータ漏洩個人情報SITAインドサイバー攻撃

画像クレジット:Anindito Mukherjee / Bloomberg / Getty Images

原文へ

(文:Manish Singh、翻訳:Hirokazu Kusakabe)

全世界9割の航空会社が使う旅客システム企業SITAがサイバー攻撃を受けて乗客データ流出

世界的な航空輸送データ企業であるSITA(Société International de Télécommunications Aéronautiques)は、乗客データを含むデータ漏洩が起こったことを認めた。

同社は中央ヨーロッパ時間3月4日、短い声明でSITAが「サイバー攻撃の犠牲者」となり、米国にある同社のサーバーに保存されていた一部の乗客データが流出したと発表した。2月24日にサイバー攻撃が確認された後、同社は影響を受けた航空会社に速やかに連絡したという。

SITAは世界最大級の航空IT企業で、世界の航空会社の約90%にサービスを提供していると言われており、それらの航空会社は同社の旅客サービスシステム「Horizon」を利用して予約、発券、航空機の出発を管理している。

しかし、どのようなデータがアクセスされたりもしくは盗まれたのか、正確には明らかにされていない。

TechCrunchの取材に対し、SITAの広報担当者であるEdna Aime-Yahil(エドナ・エイメ・ヤヒル)氏は、調査が現在進行中であることを理由に、具体的にどのようなデータが流出したかについての発言を控えた。同社は、このインシデントは「米国だけでなく、世界中のさまざまな航空会社に影響を与える」と述べている。

SITAはマレーシア航空、フィンエアー、シンガポール航空、および韓国のチェジュ航空など、すでにデータ漏洩についての声明を出しているいくつかの航空会社に通知したことを確認したが、影響を受けた他の航空会社の名前を挙げることは辞退した。

TechCrunchが入手した、シンガポール航空が影響を受けた顧客に向け送ったメールでは、同社はSITAの運営するHorizon旅客サービスシステムの顧客ではないが、約50万人のマイレージサービス会員に関して、会員番号とステータス情報が不正アクセスを受けたと述べている。同エアラインは、この種のデータの伝達は「会員のティアステータスの確認を可能にし、旅行中にメンバー航空会社の顧客に関連する特典を提供するために必要である」としている。

シンガポール航空は乗客の旅程、予約、発券およびパスポートデータは影響を受けなかったと述べた。

SITAはSabre(セーバー)やAmadeus(アマデウス)と並び、航空市場で乗客の発券および予約システムを航空会社に提供するひと握りの会社の1つだ。

Sabreは2017年半ばに、ハッカーが100万枚以上の顧客クレジットカードをスクレイピングした後、同社のホテル予約システムに影響を与える大規模なデータ流出を報告した。米国を拠点とする同社は漏洩を受けて2020年12月に240万ドル(約2億6000万円)の和解金と、サイバーセキュリティポリシーを変更することに合意した。

2019年には、エールフランスやブリティッシュ・エアウェイズ、カンタスなどが利用しているAmadeusの旅客予約システムに脆弱性があることがセキュリティ研究者によって発見され、旅行者の記録に簡単にアクセスしたり、改ざんすることが可能になっていたと判明した。

関連記事:データ漏洩通知は行間を読め、本当の意味を解読する方法

カテゴリー:セキュリティ
タグ:SITAデータ漏洩

画像クレジット:Matthew Lloyd / Bloomberg / Getty Images

原文へ

(文:Zack Whittaker、翻訳:Aya Nakazato)