SITA社という名前を初めて聞いた人も多いと思いますが、思わぬところで、自分の名前やマイレージ番号、ステータスの情報が漏洩しており、貯まっているマイルが奪われるか、身に覚えのないフライトの決済がされていないか想定してみました。
SITA社不正アクセス概要
SITA社はSociété International de Télécommunications Aéronautiques(フランス語)の略称であり、日本語では国際航空情報通信機構であり、25 ヶ国、900 ヶ所以上の国と地域を結ぶ国際航空業務情報ネットワークを運営し、600 以上の航空関連企業の業務用アプリケーションを支援しているとのことです。(Wikipediaより)
ドメインでは航空ファンにとっては欲しい.aeroも同社が管理しています。日本での法人登記はシータ・ビーヴィであり、本店所在地はアムステルダム、日本での住所は東京・浜松町となっています。
今回、SITA旅客サービスシステム(米国)のサーバーがサイバーアタックに遭い、保存された一部の個人情報が流出しています。
漏洩した情報はスターアライアンスやワンワールドに加盟している航空会社の各マイレージプログラムの番号と紐づく、氏名(ローマ字)と各アライアンスでのステータス(スターアライアンスではゴールドとシルバー、ワンワールドではエメラルド、サファイア、ルビー)とのことです。
これは、アライアンス間で上級会員優遇やアライアンス内でのスムースな乗り継ぎのためにアライアンス内でシェアされている情報のようであり、搭乗券に印字されるNH*Gに代表されるものと言っても良いでしょう。
ANAもJALもプレミアムメンバー100万人規模ということだが
JALもANAもそれぞれリリースを出し、上記のSITA社の不正アクセスについて、説明しています。
JAL
ANA
ANAからはメールが来ました。下記のとおりです。
ANAもJALも3,000万会員ベースであり、どれだけアクティブかは不明でありますが、携帯電話各社の契約者数にせまる会員数であり、日本国内では大きな勢力と言えます。
今回の対象はプレミアムメンバーに限られ、プレミアムメンバーすべてなのか、一部なのか不明でありますが、シンガポール航空のクリスフライヤーでは全会員にメールを配信した模様であり、全く使用していない同アカウントのメールアドレス宛にも受信していました。
会員番号、氏名(ローマ字)、アライアンスステイタス漏洩しても大丈夫か
会員番号、氏名(ローマ字)、アライアンスステイタスが漏洩した場合、どんな影響があるかというと漏洩したデータ単体では、リスクは少ないと言えます。
これら情報は実際の搭乗の際に発券される搭乗券に印字され、搭乗時を無防備に座席に置いた際に、他人に見られる可能性もあります。
また、到着後、余計な紙ごみとしてごみ箱に捨てる人も多いと思います。それを拾って、確認すれば同情報はゲットできます。
ただし、この3つの情報だけでは、マイル奪取や覚えのない発券はそできなさそうです。そういう意味では今回の漏洩によるリスクは低いと言えます。
他のリストデータと組み合わせると
今回漏洩した情報単体では、2020年か2019年に各航空会社のフリークエントフライヤーであり、活用するとなれば、各航空会社やホテル業者に飛行機の利用が多い顧客として、自社のプログラムにおいて、同一氏名でリージョンが合致するような場合は、プロモーションをかけられると思います。
これ自体は個人がどう思うかわかりませんが、あまりデメリットとはならないようであります。
もともとステータスを獲得している事業者から見ると堪ったものではないですが、利用者としてのリスクは少ないと言えます。
しかし、今回漏洩したデータと過去に発覚していないデータとの組み合わせではリスクが高いかもしれません。別な情報において、アクセスするパスワード情報やカード番号が含まれていたりすると今回漏洩したデータと組み合わせて、マイレージログインも突破できる可能性もあります。パスワードは結構、同じものにしている人も多いと思います。
以前に中東の航空会社の発券をしようとしたら、そのキャリアで頻繁に不正利用があり、カード会社から決済NGが出たこともあります。
複数のデータをマッチさせるのはなかなか厳しいですが航空会社が地域別に分かれている点や今回漏洩したテータがマイルを多く持っていたり、頻繁に決済を繰り返す上級会員となれば、魚群の群れであるとも考え積極的に攻撃する可能性もあります。
対策は
対策としては会員番号を変えてしまうのが最も安全かもしれません。そうは言っても、各所に登録していたりすると利便性が大きく下がってしまい、どこに連携していたかわからなくなっている現状があるかもしれません。
そうした中で、最低限できるのはログインパスワードを変更するのが有効と言えます。今回の漏洩以外でパスワードが漏れていたとしてもそれを更新すると次の漏洩までは安心とも言えます。
パスワード変更するのは、今のネット社会ではたくさんのパスワードが必要なため、しんどい作業ですが、確実と言えます。
最後に
1995年以降、インターネットが爆発的に普及し、パソコンやスマートフォンがそれにアクセスするのは当たり前ですが、各社の顧客管理システムもインターネットに接続し、サービス利用の面では格段に便利となっています。
その一方で、その情報を抜き取ろうとする輩が多く、その対策が必要であります。
今回はまさにそうした事件であります。気になる人はパスワード変更や会員番号変更の対策をするのが最適と言えます。