イギリスの大手LCCが900万件の顧客情報を漏えいしたと報じられていました。

www.asahi.com0

 

　欧州の格安航空（LCC）大手の英イージージェットは19日、大規模なサイバー攻撃を受けて約900万人の顧客情報が流出したと発表した。2208人分のクレジットカードの情報なども流出した。不正利用などの被害は確認されていないという。

　流出したのは顧客の電子メールアドレスと旅程などの記録。パスポート情報は含まれていないとしている。流出した約900万人にはイージージェット社から数日以内に連絡し、フィッシング詐欺などに遭わないようする手段を講じるとしている。一方で、同社を装った詐欺に注意するよう呼びかけている。

　ヨハン・ラングレン最高経営責任者（CEO）は同日出した声明で「強固なシステムを築いてきたが、サイバー攻撃はより高度になり脅威は増していた」と釈明。

（朝日新聞記事より引用）

 

公式発表

• Cyber Security Incident
• Notice of cyber security incident (5/19)

 

キタきつねの所感

コロナ禍を受けて、イージージェット社は英国政府に支援要請していますが、そんな経済状況の中、このデータ侵害が発表されました。

 

約900万人の顧客のデータ、内2,208人のカード情報が漏えいした様ですが、EasyJetは（コロナ禍前は）1年間で約9,000万人が利用する航空会社と言われていますので、およそ1/10の顧客が影響を受けたという事になります。

 

データが漏えいの時系列について、朝日新聞の記事や公式発表には書いてないのですが、BBSの記事によると、

www.bbc.com

EasyJetは最初に1月に攻撃を認識しました。

それは4月の初めにクレジットカードの詳細が盗まれた顧客にしか通知することができなかったとBBCに伝えました。

「これは非常に高度な攻撃者でした。攻撃の範囲を理解し、影響を受けた人物を特定するには時間がかかりました」と航空会社はBBCに語った。

「調査が十分に進行し、影響を受けた個人、影響を受けた人物、アクセスされた情報を特定できた場合にのみ、人々に通知することができました。」

盗まれたクレジットカードデータには、カード自体の裏側にCVV番号と呼ばれる3つのデジタルセキュリティコードが含まれていました。

 

（BBC記事より引用）※機械翻訳

 

EasyJetが攻撃を認識したのは1月の様です。この時点ではカード情報の漏えいがあった顧客（2,208人）に対してのみデータ侵害を通知した様です。

 

とは言え、約900万人の顧客データ侵害があった割に、カード情報の漏えい件数、2208件は極めて少ない件数です。高度な攻撃とEasyJet側は認識している様ですが、BritishAirwaysの様な決済情報を狙ったAPT攻撃とは少し攻撃パターンが違うかも知れません。

 

漏えいデータの詳細を細かく見ると、予約関連の情報が狙われた事が分かります。

これはどういう意味ですか？

科学捜査の結果、約900万人の顧客の名前、メールアドレス、旅行の詳細にアクセスしたことが判明しました。

上記に加えて、調査では、2,208人の顧客のクレジットカードの詳細にアクセスしたこともわかりました。これらのすべての顧客に連絡するためのアクションはすでに実行されており、サポートが提供されています。クレジットカードのデータを含む、いかなる性質の個人情報も悪用されたという証拠はありません。

 

旅行の詳細とはどういう意味ですか？

旅行の詳細は、名前または電子メールアドレス、出発空港と目的地、出発日など、フライトまたは休日の予約時に入力する詳細です。財務情報やパスポート情報は含まれていません。これらはアクセスされませんでした。

 （公式発表より引用）

 

ＢＢＣの記事では、クレジットカード情報の中にはセキュリティコード（ＣＶＶ）が含まれていたと書かれていますが、ネット予約でカード情報を入力する際は、デポジットでカード情報を入力する必要がある場合もありますので、予約情報を狙った攻撃だった事とは矛盾しません。

繰り返しになりますが、あまりにカード情報漏えい件数が少ない気がします。（約0.024％）現在入手できる情報から「答え」は出ない（推測できない）のですが、攻撃者の意図が分からない漏えい件数です。

 

その攻撃者について、ロイターだけが少し踏み込んで書いています。

www.reuters.com

ロンドン、5月19日（ロイター）-イギリスのeasyJetの何百万人もの顧客の旅行記録にアクセスするために使用されたハッキン​​グツールとテクニックは、ここ数か月で航空会社に対する複数の攻撃の背後にいると思われる中国のハッカーのグループを指しています。

（中略）

匿名の条件で話した調査の知識を持つ2人は、攻撃は旅行記録やその他のデータの大量盗難を狙った疑いのある中国のハッカーによる一連の攻撃のように見えたと述べました。

EasyJetの広報担当者は、攻撃の責任者に関する質問には回答しませんでした。ロンドンの中国大使館はコメントの要求にすぐに応答しませんでした。

（ロイター記事より引用）※機械翻訳

 

フォレンジック知見を持つ匿名の専門家とありますが、記事前段部分に「使用されたハッキングツールとテクニック」を見た事が分かるので、おそらくこの事件のフォレンジック調査をした会社に近いソースである事が分かります。

 

気になるのが、この事件がGDPR違反となる事です。2018年のBritishAirwaysが約38万件の顧客情報漏えいで250億円の罰金を課されていますし、GDPR以前ではありますが、香港のキャセイパシフィックは50万ポンド（約940万人のデータ漏えい）を課されています。

 

今回の事件で漏えいした情報の機微レベルは2社と比べると低い気がしますが、コロナ禍の影響で補助金を申請している航空会社の経営を揺るがす高額な罰金を課される可能性もありそうです。

日本のLCC（航空会社）も、コロナ禍だからこそ、サイバー攻撃に十分に警戒すべき時期なのかと思います。

 

参考 

foxsecurity.hatenablog.com

foxsecurity.hatenablog.com

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

 

更新履歴

• 2020年5月21日 AM（予約投稿）