Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

キャセイパシフィックの個人情報漏えい

海外事件 不正アクセス事件

キャセイパシフィック航空不正アクセスを受け最大940万件の顧客個人情報が漏洩した可能性があると発表しました。

japan.cnet.com

 

■公式発表

 Inside Information Data Breach

   Cathay Pacific announces data security event affecting passenger data

 

アクセスされた可能性のある乗客情報には、名前、国籍、生年月日、電話番号、電子メールアドレス、パスポート番号、IDカード番号、マイレージプログラム会員番号、顧客サービスに関する記録、旅行履歴情報が含まれている。

 証券取引所経由で発表されたリリース文によると、約86万件のパスポート番号と、約24万5000件の香港IDカード番号がアクセスを受けたという。

 さらに、期限切れのクレジットカード番号403件、CVV番号のないクレジットカード情報27件もアクセスを受けている。

CNET Japan記事より引用)

 

◆キタきつねの所感

今年8月にはBA(ブリテッシュ・エアウェイズ)が38万件の個人情報漏えいが疑われる不正アクセスを受けていますが、キャセイパシフィックの940万件は・・漏洩規模で言えば航空会社として最大の情報漏えいかも知れません。

まず時系列を確認してみたのですが、、、意外とひどいです。

Cathay said it first discovered "suspicious activity" on its network in March and "took immediate action to contain the event" and investigate it with the help of a cybersecurity firm. It confirmed in May that personal data had been compromised and has since been analyzing the data to identify which passengers were affected.

CNNビジネス記事より引用)

どうやら3月に疑わしき行動をキャセイは発見しています。サイバーセキュリティ企業の協力を仰いで5月の時点ではデータ侵害があった事を把握しています。そして10月24日に事件を公表。この間の5ヶ月間は何をやっていたのか?と様々な海外メディアは批判的なコメントを書いています。

影響範囲を調べていたと公式発表には書いてありますが、侵害があった事を隠蔽する意図があったのではないか、特にGDPRが5月に施行されているので、そうした見方も出来るかも知れません。

キャセイの株価を見てみたのですが、10/25時点で4%弱下落しています。4%というと大した事がないように思うかも知れませんが、規模も大きいので・・・時価総額換算で考えると200億円以上が消えてしまった事になります。

 

今回の事件発表、残念なのは、システムが侵害を受けた侵入手口がキャセイ側からまったく発表されてない事です。もしかするとインシデントの調査に時間がかかっている事と関係があるのかも知れませんが、流出件数が大きい事を考えると、今後のメディアの追加取材で分かるかも知れません。

 

限定された公開情報の中で考えると、少し気になる点があります。まず86万件のパスポート番号と、24万5000件の香港IDカード番号が漏洩している部分、、、マニュアルで個人情報を1ページ1ページWebサイトから拾っているとは考えづらい点。

個人情報漏えい規模が大きいので、DB情報がごっそり抜かれたと考える方がしっくりきます。ただ、それだけでは説明がつかないのが、クレジットカード情報漏えいの部分、『期限切れのクレジットカード番号403件、CVV番号のないクレジットカード情報27件

この内容だけでは分かりにくいのですが、期限切れのクレジットカード番号、サイトから漏洩したのであれば、新しいクレジットカード番号もある程度漏洩してそうですが、古いクレジットカード番号、CVV番号がないクレジットカード情報というのは、実際にはEC決済としては使えない可能性が高い情報です。

 

航空業界は、今年前半までにはPCI DSS準拠を目指さなければならないIATAの規定があったかと思うので、新たに登録されるクレジットカード番号はマスキングされていて、過去に登録して会員情報へ長らくアクセスしてない幽霊会員の情報が残っていた・・・程度に考えるべきなのかも知れません。

とは言え、前にも書きましたがハッカーが1ページ1ページ個人情報をWebから不正閲覧したというのは不自然ですので、DBあるいは、バックアップデータへの不正アクセスがあったと考えるべきでしょうか。だとすれば、何の脆弱性を突かれたのか・・・やはりこの部分について、キャセイ側(あるいはマスコミが)が開示してくれないと、日本企業にとって有益な教訓は得られませんね・・・。

※続報があれば、また記事書くかも知れません。

 

飛行機恐怖症のイラスト

 

更新履歴

  • 2018年10月27日PM(予約投稿)