大規模航空会社を襲った新たなサイバー攻撃
2025年7月2日、オーストラリアの大手航空会社カンタス航空が、サイバー攻撃を受けたことが明らかになりました。この事件は、現代企業が直面するセキュリティリスクの複雑さを浮き彫りにしています。
カンタス航空といえば、約2万4000人の従業員を抱える国際的な航空会社です。その信頼性の高さで知られる企業でさえ、巧妙なサイバー攻撃の前では脆弱性を露呈してしまいました。
今回の攻撃で特に注目すべきは、その攻撃手法です。攻撃者は直接メインシステムを狙うのではなく、コールセンターを入り口として利用しました。このような間接的なアプローチは、近年のサイバー攻撃において頻繁に見られる手法となっています。
攻撃者はコールセンター経由でサードパーティの顧客サービスプラットフォーム(外部のソフトやシステム等)にアクセスし、なんと600万人もの顧客データが登録されているシステムに侵入したのです。想像してみてください。これは東京都民の半数に匹敵する規模の個人情報が危険にさらされたということです。
漏洩した情報の内容と企業の対応
今回の攻撃で漏洩した情報は限定的でした。初期調査によると、漏洩したのは顧客の氏名、メールアドレス、電話番号、生年月日、マイレージ会員番号といった基本的な個人情報でした。
注目したい点は、クレジットカード番号や金融情報は漏洩していないという点です。これは、カンタス航空が適切なデータ分離を行っていたことを示しています。また、マイレージアカウントのパスワードやPIN、ログイン情報も影響を受けていないとのことで、システム設計におけるセキュリティ層の分離が功を奏したと言えるでしょう。
カンタス航空の対応も迅速でした。侵害を検知した後、すぐに政府機関への通報を行い、サイバーセキュリティ専門家との連携を開始しています。この透明性のある対応は、顧客の信頼を維持する上で重要な要素です。
しかし、どの程度のデータが実際に漏洩したのかは現在も調査中であり、被害の全容は未だ明らかになっていません。
サードパーティリスクの深刻化
今回の事件で特に注目すべきは、サードパーティのプラットフォームを経由した攻撃という点です。現代企業の多くは、効率性やコスト削減のために外部のサービスを利用しています。
カンタス航空の場合、コールセンターシステムがサードパーティの顧客サービスプラットフォームと連携していました。この連携が、攻撃者にとって格好の侵入経路となってしまったのです。
このようなサプライチェーン攻撃は、近年増加傾向にあります。なぜなら、大企業の本体システムは厳重にセキュリティが施されているため、攻撃者は比較的セキュリティの甘い外部パートナーを狙うことが多いからです。
企業にとって、自社だけでなく連携する全てのパートナーのセキュリティレベルを把握し、管理することの重要性がますます高まっています。これは単なるIT部門の問題ではなく、経営戦略の一部として考える必要があるでしょう。
カンタス航空の事例から学ぶべきこと
まず重要なのは、多層防御の構築です。今回、金融情報が漏洩しなかったのは、データを適切に分離し、重要度に応じて異なるセキュリティレベルを設定していたためです。すべてのデータを同じレベルで保護するのではなく、情報の重要度に応じた段階的な保護が効果的であることが証明されました。
次に、サードパーティとの連携における責任を明確にすることです。外部サービスを利用する際は、セキュリティ要件を契約に盛り込み、定期的な監査を実施する必要があります。
また、インシデント対応計画の重要性も再認識されました。カンタス航空は攻撃を検知後、迅速に関係機関への通報と専門家との連携を開始しました。このような準備された対応は、被害の拡大を防ぐ上で不可欠です。
まとめ
現代のサイバー攻撃は、技術的な対策だけでは防げません。従業員の教育、プロセスの見直し、そして継続的な改善が必要です。今回の事例は、私たち全員にとって貴重な教訓となるでしょう。
航空業界に限らず、顧客データを扱う全ての企業は、この事例を参考に自社のセキュリティ態勢を見直すことをお勧めします。
