1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. イベリア航空、サプライチェーン 経由の不正アクセスによるサイバー攻撃で顧客の個人情報 流出の恐れ

イベリア航空、サプライチェーン 経由の不正アクセスによるサイバー攻撃で顧客の個人情報 流出の恐れ

セキュリティニュース

投稿日時: 更新日時:

イベリア航空、サプライチェーン 経由の不正アクセスによるサイバー攻撃で顧客情報が流出の恐れ

スペインのフラッグキャリア・イベリア航空が、外部サプライヤーへの不正アクセスにより顧客情報の一部が流出したとして、スペイン語のメールで利用者に通知しました。同じタイミングで、ハッキングフォーラム上ではハッカーが「Iberia.com から77GBの機体データを盗んだ」と主張しており、イベリア側の説明と食い違う部分も見られます。

サプライヤー経由の不正アクセスで顧客情報が流出

イベリア航空が顧客に送付した通知メールによると、同社のシステムにアクセスする外部プロバイダーが不正アクセスを受け、一部顧客データの機密性が損なわれたことが確認されました。

メールでは、第三者に閲覧された可能性がある情報として次の項目を挙げています。

  • 氏名

  • メールアドレス

  • マイレージプログラム「Iberia Club」の会員番号(ロイヤリティカードID)

一方で、以下の情報については侵害されていないと説明しています。

  • イベリアのアカウントにログインするためのパスワード

  • 銀行口座やクレジットカード番号などの決済情報(番号全体)

同社は、インシデントを把握後すぐにセキュリティプロトコルを発動し、不正アクティビティの監視強化や影響範囲の調査を開始。アカウント保護策として、アカウントに紐づくメールアドレスを変更する際には確認コードの入力を必須にするなどの追加対策も導入したとしています。

顧客宛メールの内容:「不正利用は確認されていないが注意を」

顧客向けに送られたスペイン語の通知文では、次のような趣旨が記されています。

  • 現時点で顧客アカウントの不正ログインや不正取引は確認されていない

  • しかし、氏名・メールアドレス・ロイヤリティカードIDなどが不正にアクセスされた可能性がある

  • パスワードやカード情報は利用できる形では取得されていない

  • 念のため、フィッシングメールや不審な連絡には注意してほしい

  • 何か疑わしい事象があれば、コールセンターに連絡してほしい

同社は事件を警察などの当局に報告済みで、プロバイダーと連携しながら調査を継続しているとしています。

フォーラムでは「77GBの機体データ」を販売

今回の通知に先立つ約1週間前、ロシア語圏のハッキングフォーラム上では、イベリア航空から77GBの機密データを盗んだとする人物が犯行声明を投稿していました。

投稿内容によると、攻撃者は以下のようなデータを入手したと主張しています。

  • CSVやPDF、データベースファイルで構成された「Iberia.com 77GB LEAK DUMP」

  • Airbus A320/A321/A330などの機体構成情報(ACDATAシステムから抽出)

  • 整備プログラム、保守マニュアル、エンジン関連ドキュメント

  • AOC(運航証明書)関連書類、CAT運航に関する認可・承認文書

  • 高リスクなホットスポット情報や技術図面など、ISO 27001やITARで分類される可能性がある技術文書

投稿者は、このデータを15万ドル(約2,250万円)相当のビットコインまたはモネロで販売するとし、「産業スパイ活動、イベリアへの恐喝、あるいは中国やロシアなどの政府への転売」に利用可能だと宣伝していました。

現時点で、同フォーラムのリークとイベリア航空が認めたサプライヤー侵害が同一事案かどうかは公式には確認されていませんが、タイミングや対象が一致していることから関連を疑う声も上がっています。

乗客への具体的なリスク

イベリア航空の説明の通り、アカウントのパスワードや完全なカード情報が漏れていないのであれば、直接的に即座の金銭被害につながるリスクは限定的と考えられます。ただし、以下のような二次被害の可能性は残ります。

利用者側としては、イベリア航空や関連サービスを名乗るメール・SMSに注意し、リンクや添付ファイルを安易に開かないこと、パスワードの使い回しをやめること、可能であれば多要素認証を有効にすることが重要です。

航空業界とサプライチェーンリスク

今回の事案では、イベリア航空そのものではなく「サプライヤー側システム」が侵害されたと説明されています。航空業界はサードパーティのITベンダーやメンテナンス会社、予約・決済プラットフォームなど多数の外部事業者に依存しており、そこが攻撃の入口となるケースが増えています。

ハッカーが主張するような技術文書や機体コンフィグ、整備データが実際に流出している場合、商業的なスパイ活動や、航空機の安全性評価への悪影響など、純粋な個人情報漏えいとは異なるレベルのリスクも懸念されます。

イベリア航空は、サプライチェーン全体でのセキュリティ強化と、被害状況の追加説明が今後求められることになりそうです。

一部参照

@H4ckmanac

関連記事

アサヒ グループホールディングス、ランサムウェアによるサイバー攻撃で約191.4万件の個人情報漏洩または漏えいの可能性アサヒ グループホールディングス、ランサムウェアによるサイバー攻撃で約191.4万件の個人情報漏洩または漏えいの可能性 広島工業大学でサイバー攻撃 個人情報流出の可能性を公表広島工業大学でサイバー攻撃 個人情報流出の可能性を公表 パナソニック健康保険組合がイセトーのランサムウェア 被害で個人情報漏洩とダークサイト(ダークウェブ)へのアップロードを発表パナソニック健康保険組合がイセトーのランサムウェア 被害で個人情報漏洩とダークサイト(ダークウェブ)へのアップロードを発表 ランサムウェア 事例 【2024年】ランサムウェアの事例 【2024年】 株式会社ヨロズがランサムウェアとサイバー攻撃により2025年3月期の第2四半期(中間期)決算発表を延期株式会社ヨロズがランサムウェアとサイバー攻撃により2025年3月期の第2四半期(中間期)決算発表を延期 ジープ(Jeep)やクライスラーの親会社 ステランティス、サイバー攻撃で顧客の情報漏洩-Salesforceへの攻撃キャンペーン関連かジープ(Jeep)やクライスラーの親会社 ステランティス、サイバー攻撃で顧客の情報漏洩-Salesforceへの攻撃キャンペーン関連か Qilinのアサヒへのサイバー攻撃の犯行声明アサヒグループホールディングスへのサイバー攻撃、ランサムウェア グループ Qilinが不正アクセスを主張 エネサンスホールディングスにサイバー攻撃-ランサムウェア被害を公表-Qilinが犯行声明エネサンスホールディングスにサイバー攻撃-ランサムウェア被害を公表-Qilinが犯行声明 東海大学、業務委託先サーバへの不正アクセスとランサムウェアで個人情報漏洩の恐れ東海大学、業務委託先サーバへの不正アクセスとランサムウェアによるサイバー攻撃で個人情報漏洩の恐れ