データ流出により2億3800万ドルの罰金に直面し、流出そのものは罰金の主な理由ではないと言われることを想像してみてください。2018年のデータ流出で約50万人の顧客の個人データが流出したブリティッシュ・エアウェイズに起きたのは、まさにそのような事態でした。
英国の情報コミッショナー事務所(ICO)による情報漏洩の調査は、同社が欧州の一般データ保護規則(GDPR)に違反したと結論づけた。武漢ウイルス(COVID-19)の大流行に起因する緩和要因により、最終的に罰金は2600万ドルに減額されましたが、英国の規制当局は、ブリティッシュ・エアウェイズが情報漏洩を防止するために必要なクライアント側のセキュリティ保護を備えていなかったことが、この罰金の大きな原因であると述べています。
2018年6月22日、サイバー犯罪者は、ブリティッシュ・エアウェイズの第三者サプライヤーの1社に発行されたリモートアクセスゲートウェイのログイン認証情報を侵害し、ブリティッシュ・エアウェイズの内部ネットワークにアクセスすることができました。これは6週間近く発見されないままでした。
そこから攻撃者は、サーバーに平文で保存されているログイン情報を使用して、ドメイン管理者アカウントへのアクセス権を獲得しました。その後、攻撃者はBAの公開ウェブサイト(BritishAirways.com)上のJavascriptファイルを編集し、顧客の支払いカードデータをサイバー犯罪者が管理するドメイン(BAways.com)にリダイレクトさせるようにしたのです。その後15日間、旅行者がブリティッシュ・エアウェイズのウェブサイトに決済カード情報を入力するたびに、そのコピーが攻撃者に送信されました。
2020年10月16日に発行されたICOのペナルティ通知書によると、攻撃者は約42万9612人の個人データにアクセスした。
- BA顧客の氏名、住所、カード番号、CVV番号:244,000人
- カード番号とCVV番号のみ:77,000人
- カード番号のみ:108,000人
- BAの従業員および管理者アカウントのユーザー名とパスワード、およびBAエグゼクティブ・クラブアカウントのユーザー名と暗証番号:最大612件
ICOは、BAがGDPRに基づく義務を遵守しなかったと判断しました。「BAは、適切な技術的および組織的措置を用いて、不正または違法な処理に対する保護、および不慮の損失、破壊、または損害に対する保護を含む、個人データの適切なセキュリティを確保する方法で個人データを処理しませんでした」と、処罰通知には記載されています。
ブリティッシュ・エアウェイズには多くの失敗がありましたが、その中でも特に、パートナーのエコシステムを可視化できていなかったことが挙げられます。GDPRの遵守を考えるのであれば、この可視性を確保する必要があります。Webサイトのパートナーの通常の行動を監視・管理するだけでなく、クライアントサイドの攻撃を成功させるためのベクトルとしてパートナーが利用されないようにする必要があります。
サイバー犯罪者は、Javascriptの脆弱性を利用することが多くなっています。この脆弱性は、スクリプトの出所に関係なく、すべてのスクリプトに、アクセスや作者の権限、Webページの変更、フォームを含むすべての情報へのアクセス、さらにはキー入力の記録や保存などの制御を同じレベルで可能にするものです。これもブリティッシュ・エアウェイズの攻撃における大きな要因でした。
BAは、攻撃中に発生したような悪意のある行為を検知するための対策、特にファイル整合性監視を導入することができたはずです。この種の監視は、組織のコードに加えられた変更をシステムが検出し、警告することを可能にします。攻撃者がコードを変更することを止めることはできませんが、変更が行われたことを検知し、それが不正なものであるかどうかを確認することができます。
BAは、手動による変更管理コントロールを確立していました。つまり、従業員がBAのウェブサイトに何らかの変更を加えたい場合、正式な変更管理プロセスを経て、その変更の承認を得る必要があったのです。しかし、BA社には、ウェブサイトのコードに対する不正な変更を検知するセキュリティ技術がありませんでした。この例では、BAは第三者からウェブサイトのコードに重大な変更が加えられたことを警告されただけだった。
英国の規制当局は、ブリティッシュ・エアウェイズがオンライン決済の際に消費者を保護するためのPCIデータ・セキュリティ基準(DSS)を遵守していなかったことも指摘した。罰則の通知では、BA社が重要なシステムファイル、設定ファイル、コンテンツファイルやスクリプトの完全性を検証できていないことが具体的に指摘されています。最近導入されたPCI DSS 4.0では、クライアント側のセキュリティに明確に焦点が当てられていることに留意する必要があります。
【[インシデント]ブリティッシュ・エアウェイズ / British Airways】2018/9/8
[企業情報]
業種:航空
営業利益(2016年):£11,443,000,000
純利益(2016年):£1,473,000,000
従業員数:約40,000人
企業URL http://www.britishairways.com/
[インシデント発覚日]
2018年9月7日
[インシデント概要]
2018年8月25日~2018年9月5日の期間にブリティッシュエアウェイズのサイトで決済した顧客のクレジットカード情報や個人情報が流出した可能性。
[被害/影響]
380,000名分の下記情報
・カード会員名
・クレジットカード番号、有効期限
[想定損害額]
59,280,000,000円(£413,301,689)
[原因]
(調査中)
[プレスリリース]
顧客データの盗難
[コメント]
スペインのイベリア航空みたいな比較的いい加減そうなシステムの会社であれば分かるが、ブリティッシュエアウェイズがハッキング被害にあうとは正直思っていなかった。
情報が錯綜しているので、追加の情報を待つことにしたいが、仮に38万件の個人情報流出が事実だった場合、600億円弱の被害になると想定される。
自分も該当期間中にブリティッシュエアウェイズでクレジットカード決済を行っており、情報漏洩の対象候補者であるが、カード会社(ダイナース)によれば漏洩の対象か明確になるまでは様子見で良く、決済されても補償は行ってくれるとの事だった。
まずは事の推移を見守ろう。。。
[関連リンク]
Hackers steal data on 380,000 British Airways customers