JAL／ANAからの情報漏えい

日本航空（JAL）のマイレージ会員（JMB）情報の一部がスイスSITA社の不正アクセスによって漏えいした様です。昨日の日本航空のリリースを受けて、多くの関連記事が出ています。

www.nikkei.com

日本航空（JAL）は5日、会員制サービス「JALマイレージバンク（JMB）」の個人情報92万人分が外部に流出したと発表した。複数の航空会社に予約システムなどを提供するSITA社（スイス）への不正アクセスが原因としている。
漏洩した情報は、会員のアルファベット表記の名前やマイレージ番号のほか、JALが加盟する航空連合「ワンワールド」での会員の等級。SITA社で2011年11月24日から21年2月14日の間に作成されたデータに登録された人が対象で、JALの会員の約3%にあたる。生年月日や住所、パスワードやクレジットカード番号などは含まれず、マイルの不正利用など被害が出ているという申し出はないと説明している。

SITA社は被害を受けたシステムと外部を遮断済みで、追加の情報漏洩はないことを確認しているという。同社は世界の航空各社から顧客情報を集めており、流出被害は他の航空会社にも広がる可能性がある。

（日経新聞記事より引用）

公式発表(SITA／JAL）

・SITA statement about security incident (SITA 3/4)

・SITA社セキュリティ事故によるJALマイレージバンク会員情報の漏洩について (JAL 3/5)

・SITA社システムへの不正アクセスによるANAマイレージクラブ会員情報の漏洩について（ANA 3/6）※3/6 PM追記

キタきつねの所感

日経記事を読んだ際に、ワンワールド会員の情報を保有しているDBがハッキングを受けたのかと思ったのですが、そうではなく限定されたマイレージ会員情報を渡していたSITAへの不正アクセスの影響だった様です。

JAL(ANA)の発表内容を見ると、そう大した個人情報が洩れている訳ではありません。

英字氏名（ローマ字）と、会員番号と、マイレージ会員ランク程度と公表されていますが、他社でのインシデント等で漏えいしたパスワード、メールアドレス等の個人情報と紐づけられない限りは、不正アクセスやフィッシングに使われる（漏えい対象の会員が2次被害を受ける）可能性は低いかと思います。

では何故このインシデントが気になったのかと言えば、JALだけでなく、海外の名だたる航空会社からも同様の漏えいが発表（関連報道）されていたからです。

※現在報道等で確認できた航空会社は11社、影響を受けたマイレージプログラム会員は（報じられている分だけで）400万人以上となります。

・ルフトハンザ (Star Alliance) ※130万レコードの侵害

・シンガポール (Star Alliance) ※58万レコードの侵害

・ユナイテッド航空 (Star Alliance)

・ニュージーランド航空 (Star Alliance)

・SAS (Star Alliance)

・全日本空輸 (Star Alliance) ※100万レコードの侵害 **3/6 PM追記

・日本航空 (One World)　※92万レコードの侵害

・フィンエアー (One World)　※20万レコードの侵害

・キャセイパシフィック (One World)

・マレーシア航空 (One World)

・ブリティッシュエアウェイズ (One World) **3/7 AM追記

・アメリカン航空 (One World) **3/7 AM追記

・チェジュ航空　

とは言え、JAL(ANA)以外の航空会社も「乗客氏名」「会員番号」「会員ステータス（ランク）」などの基本データだけが侵害されたと書かれており、パスワードや、クレジットカード情報、旅程、パスポート情報などの機微な個人情報は含まれていない様です。

漏えいした個人情報のデータ数は、各航空会社の会員数から考えるとごく一部です。例えば、JALは約3,000万人のJMB会員の約3％、92万件です。(*3/6PM追記： ANAも約3％ 100万件と発表）

日経記事には漏えいしたデータについて、

SITA社で2011年11月24日から21年2月14日の間に作成されたデータに登録された人が対象で、JALの会員の約3%にあたる。

（日経新聞記事より引用）

とあります。約10年間の会員情報と考えると（辞めた会員も考えると）3,000万人以上になると思うので、極めて”少ない”のは対象が「上級会員」だけのデータだった可能性を感じます。※根拠はありません

*3/6 PM追記　ANAは公式発表の中で影響を受けたのがANAマイレージクラブのプレミアムメンバー（＝上級会員）と明記しています。上記のJALの想像は当たっていた可能性が高そうです。

上級会員の基本情報が航空会社間で必要であった理由を想像すると、例えば「航空会社ラウンジ」の利用が考えられます。

JALだと上級会員向けの「サクララウンジ」はワンワールドアライアンスの他の航空会社の上級会員でも同様に使えるので、こうした会員の「ステータス確認用」としてこうした情報が提供されていた事は十分考えられます。

また、上級会員ステータスを持つ方が、普通座席チケットを購入している際に、ファーストクラスやビジネスクラスの空席が多い場合だと思いますが、突然搭乗口で名前が呼ばれて「Upgrade」される事もある様ですので、こうした”宝くじ”に使われていたのかも知れません。

※この推測を裏付ける様な記載がTechcrunch記事にありました。

TechCrunchが入手した、シンガポール航空が影響を受けた顧客に向け送ったメールでは、同社はSITAの運営するHorizon旅客サービスシステムの顧客ではないが、約50万人のマイレージサービス会員に関して、会員番号とステータス情報が不正アクセスを受けたと述べている。同エアラインは、この種のデータの伝達は「会員のティアステータスの確認を可能にし、旅行中にメンバー航空会社の顧客に関連する特典を提供するために必要である」としている。

（Techcrunch記事より引用）

SITAの公式発表では、SITAはデータインシデントを2/24に検知したとあり、海外記事ではユナイテッド航空と、フィンエアーは2/27にSITAから通知があったとしていますので、JALも同様なタイミングで通知されていたと思われます。

確たる根拠はありませんが、こうした断片的な情報から考えると、JALだけではなく、（スターアライアンスの航空会社も対象だった事から）ANAも通知を受けていた可能性も十分に考えられます。

※3/6 PM追記：ANAも流出を発表した為、一部記事を更新

※現時点でANAのニュースリリースにそうした事実は確認できていません。

www.nikkei.com

侵害を受けていた期間は、Registerの記事によると2021/1/21～2021/2/11とですが、もう1点気になる部分がありました。

ルフトハンザは、The Regに対する声明の中で、次のように述べています。「21.1.2021から11.2.2021の間に、スターアライアンスメンバーのサービスプロバイダーでデータインシデントが発生したことを確認できます。事件の間、ハッカーはなんとかITサービスプロバイダーによって運営されているアジアの航空会社の予約システムに入ることができました。

（The Register記事より引用）※機械翻訳

「アジアの航空会社」の予約システムまで侵害が及んでいた可能性を示唆する記述です。

リリース内容からJALでは無いと思われますが、限定的な会員情報漏えいだけにとどまらず、機微な情報まで漏えいしてしまった（被害が大きかった）航空会社がある様に思えます。

※3/7追記：別な海外記事に「マレーシア航空」が約10年「インシデント」に苦しんでいるとの内容が書かれていました。SITAの”対象”でもあり、個人情報が他の航空会社より少し広い範囲で漏えい、そして侵害時期が少しずれている事を考えると、SITAの侵害に何か関係があった可能性を感じます。

Malaysia Airlines suffers data security 'incident' spanning nine years

マレーシア航空は、マイレージプログラムのメンバーであるエンリッチの個人情報を危険にさらすデータセキュリティの「インシデント」に苦しんでいます。この違反は、ほぼ10年にわたる期間のある時点で発生したとされており、サードパーティのITサービスプロバイダーが関与しています。

航空会社は今週、サードパーティのITサプライヤで「データセキュリティインシデント」が通知されたことを示すメールをEnrichメンバーに送信しました。違反は「一部の個人データ」に関係し、2010年3月から2019年6月の間に発生したと述べ、これらの詳細にはメンバーの名前、生年月日、連絡先情報、および番号、ステータス、ティアレベル。

（HITB記事より引用）※機械翻訳

余談です。SITAの顧客は2800と、全世界のほぼ全ての航空会社と空港が顧客の航空系IT領域におけるグローバルリーディングカンパニーです。

航空通信や、搭乗手続きシステム、手荷物管理システム等もさる事ながら、最近重宝している（接続が不安定な時も多々ありますが）機内Wi-Fiや、空港で飛行機に乗る旅情を誘われる「パタパタ」と出発時刻や搭乗手続き開始などを知らせる乗客情報などのシステムもSITAは提供しており、知らない間にSITAのサービスのお世話になっている方は多いのかと思います。

乗客の体験を向上させる