はじめに
スペインの主要航空会社であるイベリア航空は、ベンダー企業のセキュリティ侵害に起因する顧客データ漏洩について、顧客への通知を開始しました。この発表は、ハッカーフォーラムで77GBものデータがイベリア航空から盗まれ、漏洩したと主張する脅威アクターの出現から数日後に行われました。
流出した個人情報
イベリア航空は、IAG(インターナショナル・エアラインズ・グループ)傘下であり、サプライヤーシステムの不正アクセスにより、特定の顧客情報が露出したことを認めています。脅威インテリジェンスプラットフォームHackmanacが確認したメールによると、漏洩した可能性のあるデータには以下のものが含まれます。
- 顧客の氏名
- メールアドレス
- ロイヤルティカード(イベリアクラブ)の会員番号
ただし、同航空会社は、顧客のイベリアアカウントのログイン情報やパスワード、銀行情報、または支払いカード情報が侵害された事実はないと強調しています。
イベリア航空の対応
イベリア航空は、インシデントを認識すると直ちにセキュリティプロトコルと手順を活性化し、封じ込め、影響の緩和、再発防止のための必要な技術的および組織的措置をすべて実施したと述べています。
具体的な対策として、顧客アカウントに紐付けられたメールアドレス周辺に追加の保護策を導入し、変更を行う前に認証コードを必須としています。また、システムでの疑わしい活動を監視しており、関連当局にも通知し、関係するサプライヤーと連携して調査が進行中です。
航空会社は、「現時点では、これらのデータが不正に使用された証拠はありません。しかし、潜在的な問題を回避するため、不審な通信には十分注意を払い、異常や疑わしい点があれば、コールセンター(+34 900111500)にご連絡ください」と呼びかけています。
ハッカーによるデータ販売との関連
今回の情報開示のタイミングは、およそ1週間前に脅威アクターがオンラインでイベリア航空のデータとされる77GBを15万ドルで販売すると主張したことと注目すべき関連性があります。フォーラムの投稿では、そのデータが「航空会社の内部サーバーから直接抽出された」ものであり、A320/A321の技術データ、AMPメンテナンスファイル、エンジン情報、その他の内部文書が含まれていると主張されていました。
しかし、この主張されたデータダンプが、今回イベリア航空が公表した顧客情報の漏洩と関連があるかは不明瞭です。販売リストには顧客情報が記載されておらず、また、航空会社は侵害の原因を自社のサーバーではなく第三者のベンダーに帰しています。BleepingComputerは、オンラインで広告されたデータの信憑性を確認していません。
イベリア航空の顧客およびパートナーは、航空会社を名乗る未承諾または不審なメッセージ(フィッシングやソーシャルエンジニアリングの試みである可能性)に引き続き注意を払う必要があります。