世界の複数の航空会社の旅客データが、世界的な情報技術企業であるSITAのサーバーがハッカーによって侵害されたことが明らかになりました。
JAL、ANAを含む十数社近くの航空会社が、航空券の予約から搭乗までのトランザクションを処理するSITAのPassenger Service System(PSS)に侵入者が侵入し、一部のデータがアクセスされたことを乗客に伝えている。
影響を受けた旅行者の総数は明らかになっていませんが、210万人以上となっており、そのほとんどがヨーロッパ最大規模のルフトハンザグループのマイレージプログラム「Miles & More」およびアワードプログラムの参加者となっています。
スターアライアンス、ワンワールド・アライアンスの航空会社が影響を受ける
SITAは木曜日の短い声明でサイバー攻撃を確認し、影響を受けたPSSの顧客および関連するすべての組織に連絡したと述べました。
SITAの担当者がBleepingComputerに語ったところによると、侵入は以下の航空会社の乗客のデータに影響を与えているという。各社とも、すでに顧客に通知したり、侵入についての公開声明を発表している。
- ルフトハンザ - 子会社を合わせると、搭乗者数でヨーロッパ第2位の航空会社であり、スターアライアンス加盟航空会社であり、Miles & Moreのパートナーでもあります。
- ニュージーランド航空 - ニュージーランドのフラッグキャリア航空会社
- シンガポール航空 - シンガポールのフラッグキャリア航空会社
- SAS - スカンジナビア航空(ここで開示)。
- キャセイパシフィック航空 - 香港のフラッグキャリア
- 韓国初・最大の格安航空会社、済州航空
- マレーシア航空 - マレーシアのフラッグキャリア航空会社
- フィンエアー - フィンランドのフラッグキャリア、最大の航空会社
日本航空も影響を受けているという報道もある。最初の4社は、26社が加盟する世界的な航空会社ネットワーク「スターアライアンス」に属しており、ルフトハンザは5つの創業メンバーの1つです。
より多くのキャリアが影響を受けている可能性があるが、SITAは、侵害に関する声明を公表する前に、その名前を公表することを辞退した。
SITAは「2021年2月24日にデータセキュリティインシデントの重大性を確認した」としているが、影響を受けた個人の数や攻撃がいつ発生したのかは明らかにしていない。
ルフトハンザの担当者はBleepingComputerの声明の中で、ハッカーが1月21日から2月11日の間に、スターアライアンスに加盟しているアジアの航空会社の予約システムに侵入したと述べている。
スターアライアンスは2月27日にSITAからPSS侵害に関する通知を受けた。スターアライアンスは、すべての加盟航空会社が影響を受けているわけではないとの通知を受けたとしているが、その可能性を排除していないとしている。
シンガポール航空は木曜日に今回の侵害を公表し、同社のマイレージプログラム「KrisFlyer」の会員約58万人のデータが流出したことを説明。また、同社は顧客に対して、SITAのPSSは利用していないが、別のスターアライアンス加盟航空会社は利用しており、SITAは全スターアライアンス加盟航空会社で共有されているフリークエントフライヤーデータの制限されたセットにアクセスしていることを意味すると電子メールで伝えている。
Miles & Moreマイレージプログラムでは、26社のスターアライアンス会員を含む37社の提携航空会社をご紹介しています。その他の提携航空会社は以下の通りです。
- 高級ホテルと手頃な価格のホテル(Althoff, Hyatt, Marriott International, Jumeirah, Kempinski, Meliá, BestWestern, H-Hotels, HRS, Hyatt, IHG)
- レンタカー会社(Sixt, Hertz, AVIS, Europcar, Enterprise, Budget)
- ポイント交換ショップ(Dezerved, Heathrow Rewards, Heinemann, Lufthansa WorldShop, Bicester Village Shopping Collection, welcome Shop)
- 金融会社(UniCredit, Visa)
- 旅行代理店(Get Your Guide, Kreuzfahrten)
ルフトハンザによると、ハッカーはスターアライアンスにも加盟している未公表のアジア航空会社の予約システムに侵入したため、Miles & Moreの顧客データも今回の事件の影響を受けています。
盗まれた情報は、サービスカード番号、ステータスレベル、場合によっては参加者の名前などです。より機密性の高い詳細情報(パスワードや電子メールアドレス)は影響を受けていません。
スターアライアンスは、会員が旅行特典の付与に関連する顧客情報を共有していることをBleepingComputerに確認したところ、会員名、マイレージプログラムの会員番号、プログラムのティアステータスに限定されているとのことです。
なお、今回の違反の影響を受けた航空会社のうち、直接または間接的に影響を受けた航空会社は、ワンワールド航空アライアンス(マレーシア航空、キャセイパシフィック航空、フィンエアー)の加盟航空会社です。
フィンエアーは、顧客への電子メールで、SITA PSSの侵害の一環として、一部のフリークエントフライヤーデータにアクセスされたことを明らかにしています。シンガポール航空の場合と同様、同社はPSSを利用しておらず、フィンエアーが一部のフリークエントフライヤーデータを提携航空会社と共有しているために今回の事件が発生したという。
Yleによると、フィンエアープラスプログラムの約20万人の会員が影響を受けているとのことです。ただし、盗まれたデータは、そのプログラムのアカウントにアクセスするために使用することはできません。また、航空会社は「このデータが他の文脈で悪用されるリスクは比較的低い」と評価しています。