セキュリティ
サイバー攻撃(用語)
インド(国・地域)
データ漏洩(用語)

エア・インディアが乗客情報の流出を発表、サイバー攻撃を受けたSITAのデータ漏洩被害は当初の想定より広範囲

次の記事

アフリカ、ラテンアメリカ、インドなどの新興市場では決済、融資、ネオバンクがフィンテック業界を掌握

世界的な航空輸送データ企業のSITAが、サイバー攻撃を受けたことによるデータ漏洩を報告してから3カ月が経過したが、いまだに被害状況の全貌は明らかになっていない。

インドのフラッグキャリア航空会社であるAir India(エア・インディア)は、同社のデータを管理していたSITAの事故から約450万人の乗客の個人データが漏洩したことを先週発表した。盗まれた情報には、乗客の氏名、クレジットカード情報、生年月日、連絡先、パスポート情報、航空券情報、Star Alliance(スターアライアンス)およびエア・インディアのマイレージサービス情報などが含まれていると、エアインディアは声明(PDF)で発表している。

クレジットカードのセキュリティコードはSITAのシステムに保存されていなかったとしながらも「個人データの安全性を確保するため、該当する場合は必ずパスワードを変更するように」と、同社は顧客に呼びかけている。

エア・インディアでは、今回のサイバー攻撃により、2011年8月26日から2021年2月3日までの間に、同社に登録された乗客のデータが漏洩したと声明で述べている。

この事実が明らかになったのは、SITAが顧客情報を含むデータ侵害の被害に遭ったことを発表してから3カ月近くも経ってからのことだ。SITAは当時、Malaysia Airlines(マレーシア航空)、Finnair(フィンエアー)、Singapore Airlines(シンガポール航空)、Jeju Air(済州航空)、Cathay Pacific(キャセイパシフィック航空)、Air New Zealand(ニュージーランド航空)、 Lufthansa(ルフトハンザドイツ航空)など複数の航空会社に情報漏洩を通知したと述べていた。

関連記事:全世界9割の航空会社が使う旅客システム企業SITAがサイバー攻撃を受けて乗客データ流出

スイスのジュネーブに本社を置くSITAは、世界の航空会社の90%にサービスを提供していると言われる。3月上旬の情報公開時点では、同社は現在も調査中であることを理由に、漏洩した具体的なデータを明らかにしなかった。

エア・インディアは、2021年2月25日にSITAからサイバー攻撃について最初の通知を受けたが、具体的なデータの種類については3月25日と4月5日になってから知らされたという。

多額の赤字を抱え国民の税金で生き延びてきたこのインドの航空会社は、セキュリティ被害の調査、侵害されたサーバーの安全確保、外部専門家(名称は明かされていない)との連携、クレジットカード発行会社への通知、マイレージプログラムのパスワードリセットなどの措置を取ったと主張している。

インドでは最近、他にも企業のデータ漏洩が相次いで報告されている。モバイル決済サービス大手企業のMobiKwik(モビクイック)は2021年3月下旬に、約1億人のユーザーの個人情報が流出したとされるデータ漏洩の調査を行っていると発表した。

また、4月下旬には、インド最大の食料品宅配サービス企業で、現在はTata(タタ)財閥が所有するBigBasket(ビッグバスケット)の顧客2000万人分の記録がサイバー犯罪フォーラム上に流出し、誰でもダウンロードできる状態になっていた。大手通信会社のJio Platforms(ジオ・プラットフォームズ)は、セキュリティの不備により、同社のツールを使ってコロナウイルスの症状をチェックした一部のユーザーの結果を流出させた。同様に、インドの西ベンガル州政府が運営するウェブサイトや、大手血液検査会社のDr Lal PathLabs(ドクター・ラル・パスラボ)でも、検査結果の流出被害に遭った。エア・インディアの同業他社であるSpicejet(スパイスジェット)も2020年、データ流出を確認している。

関連記事
2000万人分のインド食料品配達BigBasketのユーザーデータがオンライン公開か
Facebookも巨額出資するJio、新型コロナ症状チェッカーの結果を漏洩
850万人の大規模検査後、インドの州政府サイトが新型コロナ検査結果を外部閲覧可能な状態に

カテゴリー:セキュリティ
タグ:エア・インディアデータ漏洩個人情報SITAインドサイバー攻撃

画像クレジット:Anindito Mukherjee / Bloomberg / Getty Images

原文へ

(文:Manish Singh、翻訳:Hirokazu Kusakabe)