新着Pick
231Picks
Pick に失敗しました

選択しているユーザー
最近また増えてきたサイバー攻撃被害
データ自体の暗号化をスタンダードにしていかないと漏洩と悪用のリスクはずっと消えない気がする
人気 Picker
これはそもそも、SITAという航空関連の通信会社がもつHorizonという旅客サービスシステムに対して不正アクセスがあり、そこから複数の航空会社の会員情報が閲覧された可能性があるとされていたニュースによります。
https://jp.techcrunch.com/2021/03/05/2021-03-04-sita-airline-passenger-breach/

JAL自身はこのシステムは使っていないのですが(Amadeus社のシステムを使っています)、航空会社間でマイレージ等の情報を共有するために、他の旅客システムを利用する航空会社が名前とマイレージの番号といった最低限の情報は他のシステム上にも乗った状態になっています。今回影響を受けたエアラインもJALだけではなく、マレーシア航空やシンガポール航空、フィンランド航空、またLCCでもチェジュ航空などの名前が報道されています。
今や航空会社は各種システムを自社で開発するのではなく、航空会社同士でアライアンスを組むなどの都合もあり、こうした旅客情報を扱うシステムも大手のベンダーのものを使うことが多くなっています。こういったシステムのベンダーは大抵が寡占状態で、1社になにがしかのトラブルがあると複数の航空会社に影響が波及します。
言ってみれば、何らかのITサービスを提供する会社があったとして、これがAWSの停止などのトラブルの影響を受けたようなものと例えることができます。現代のこうしたシステムはもはや電気などと同様の社会的インフラとなっているということを示していると思います。利用者としては、システムの冗長性や安全性について厳しくみていくことが必要になるように考えています。
本件は、グローバルな情報連携・サービス連携のメリットと抱き合わせのリスクの現れと思います。現時点ではクリティカルな情報が漏えいしていないとのことですが、詳細の調査を期待します。
また、本インシデントに便乗したフィッシング等に注意が必要ですね。
記事のヘッドラインは「JALマイレージ」となっていますが、

Airline IT provider hacked, frequent flyer data breached
https://www.live5news.com/2021/03/05/airline-it-provider-hacked-frequent-flyer-data-breached/

によるとStar Alliance と OneWorldに影響が出ているそう。ANAは大丈夫でしょうか?ANAと同じStar Allianceに所属するUnited Airlinesは一部の情報が漏洩した可能性をすでに報告しているとのこと。Malaysia Airlines, Finnair, Japan Airlines, Cathay Pacificが声明を出したり顧客への警告を行っているとの情報も。
かなりミスリーディングな記事。主語はJALではなく大元をつかさどるSITAとなるべきで気の毒。私のところにもシンガポールエアラインやら他の航空会社のマイレージシステム全てから同じメールが来てます。
名前だけでも一意に特定できる人はいるし、少なくともそれでJal会員且つステータスまで確認できる。なりすましの詐欺などもできることを考えると、大きな問題ではないとは言い切れない。

https://www.jal.co.jp/jp/ja/info/2021/other/210305/
---
当社は、お客さまが提携航空会社へご搭乗される際のサービスのため、提携社に、アルファベット表記のお名前、JALマイレージバンクお得意様番号(JMB会員番号)、ワンワールドのエリートステイタス(エメラルド、サファイア、ルビー)に限定した情報を提供しております。今回それらの情報が、SITA社の所有するシステムに対する不正アクセスにより漏洩いたしました。
(省略)
今回の漏洩情報には、漢字表記のお名前、生年月日、住所、電話番号、メールアドレス、パスワードやクレジットカード番号など、第三者による不正利用につながる情報は含まれておりません。
---
盗んだ人たちがどんなふうにデータを活用をするんだろう。
この手の犯罪は、盗む側にしか理由が分からないので厄介。
情報が漏洩したのは「日航が加盟する航空連合「ワンワールド」の上位会員の会員情報」とのこと。明確に上位顧客だけを狙ったサイバー攻撃だったのだろうか。たた、クレジットカード情報は漏洩していないとのこと。
情報漏洩を安価に防げるSaasがあればいいのにと思うけどもうあるのでしょうか?しかも既存の情報が簡単にアップロードできるもの…
こういったインシデントをみるにつけて…下手に自前でデータを持つよりも、クラウド上で保管した方が、はるかに安全だと確信します。時代は変わりました。

※個人的な見解であり、所属する会社、組織とは全く関係ありません

業績

Premiumを無料で体験
登録・ログイン