オーストラリアの航空会社「カンタス航空」で、なんと約600万件の個人情報が流出!原因は、委託先のカスタマーサポートシステムへのサイバー攻撃でした。この記事では、その事件の流れや被害のリスク、そして今注目されている「すべてのアクセスを疑って確認するセキュリティの考え方(ゼロトラスト)」や「本人確認の方法を複数組み合わせる仕組み(多要素認証)」の必要性をわかりやすくまとめました。個人情報を守るための対策もご紹介しますので、ぜひ最後までチェックしてみてくださいね。
カンタス航空で大規模な個人情報流出が発生
2025年7月1日、オーストラリアの航空会社カンタス航空は、委託先のカスタマーサポートセンターが利用していた第三者プラットフォームがハッカーによる不正アクセスを受け、約600万件の顧客情報が流出したことを正式に発表しました。
流出した情報には、氏名、メールアドレス、電話番号、生年月日、マイレージ番号などが含まれていました。幸いなことに、クレジットカード情報、パスポート番号、パスワード、口座PINなどの機密情報は当該システム内には保存されておらず、今回の被害には含まれていません。
不審なアクセスは6月30日(月)に検知され、カンタス航空のITチームが即座に対応。問題のあるシステムを隔離し、事態の拡大を防ぐとともに、航空機の運航や主要業務には影響が出ていないことも確認されています。カンタス航空のヴァネッサ・ハドソンCEOは、今回の件について謝罪し、オーストラリア・サイバーセキュリティセンター(ACSC)、オーストラリア情報コミッショナー事務局(OAIC)、連邦警察(AFP)へも速やかに報告したと発表しました。
さらに、複数のメディア報道によると、アメリカ連邦捜査局(FBI)が先週、航空業界を標的としたハッカー集団「Scattered Spider(別名:UNC3944)」の動向に警告を発しています。このグループは、カスタマーサポートになりすました人の心理をついて情報を盗む手口(ソーシャルエンジニアリング)や、2段階認証(パスワード+確認コードなど)を突破するための電話番号を乗っ取って認証を突破する攻撃(SIMスワップ攻撃)などを得意とし、大手企業への不正アクセスを行っているとされています。
今回流出した情報には、金融情報や搭乗用パスワードなどの特に機密性の高いデータは含まれていませんでしたが、それでも偽のサイトなどで情報を盗む詐欺(フィッシング)詐欺やなりすまし被害のリスクは極めて高い状況です。特にマイレージ番号が悪用され、ポイント詐取や不正利用に繋がる恐れもあります。
この事件を受け、オーストラリア国内では企業のサイバーセキュリティ体制に対する批判と改善要求が高まっています。近年、カンタス航空のみならず、通信大手Optusや民間医療保険最大手Medibankでも大規模な個人情報漏えい事件が相次いでおり、政府もより厳格なセキュリティ法制の整備を進める動きが加速しています。
個人情報流出がもたらす実際のリスクと詐欺手口
情報漏えいのニュースを目にしたとき、多くの人は「クレジットカード情報やパスワードは漏れていないから大丈夫だろう」と考えがちです。ですが、実は氏名、生年月日、電話番号、メールアドレスといった基本的な情報だけでも、ハッカーの手に渡れば偽のサイトなどで情報を盗む詐欺(フィッシング)詐欺やなりすまし、さらには人の心理をついて情報を盗む手口(ソーシャルエンジニアリング)攻撃の材料として悪用される危険性があります。
以下は、漏えいした情報が実際にどのように使われるかの代表的な例です。
① 精巧な偽のサイトなどで情報を盗む詐欺(フィッシング)メール(Phishing)
漏えいした氏名、メールアドレス、マイレージ番号などの情報を利用し、あたかも航空会社のカスタマーサポートからの公式メールのように偽装した詐欺メールが送られてきます。内容としては以下のようなものが一般的です。
- アカウント異常の通知
- ポイント交換の案内
- マイルの有効期限切れの警告
受信者に不安を煽り、リンクをクリックさせ、偽のログイン画面(フィッシングサイト)に誘導し、アカウントのID・パスワードやクレジットカード情報を入力させて盗み取る手口が横行しています。
② 偽のカスタマーサポートによる電話詐欺(電話を使った詐欺:Vishing)
漏えいした電話番号やマイレージ会員情報をもとに、航空会社のカスタマーサポートを装った偽の電話をかけてきます。内容は、「フライトに異常が発生した」「マイルの手続きに問題がある」といったものが多く、不安を煽った上で「本人確認」を口実に、パスポート番号や認証コードの入力を求めたり、支払い情報の登録・変更を促したりする手口です。
このような電話を使った詐欺(Vishing:ボイス・フィッシング詐欺)は、電話越しの会話という性質上、つい信用してしまいやすいため注意が必要です。
③ なりすまし・人の心理をついて情報を盗む手口(ソーシャルエンジニアリング)攻撃
氏名、生年月日、メールアドレス、電話番号といった情報を組み合わせることで、ハッカーは特定の高額顧客や重要人物を狙ったなりすましや人の心理をついて情報を盗む手口(ソーシャルエンジニアリング)攻撃を行うことが可能になります。具体的には、以下のような手口があります。
- 各種オンラインアカウントへの不正ログイン・パスワードのリセット
- 他人名義でのローンやクレジットカードの不正申請
- SIMカードの乗っ取り攻撃(電話番号を乗っ取って認証を突破する攻撃)
これらの手法は、過去の情報漏えい事件でも頻繁に確認されており、被害者が知らない間に名義を悪用されたり、財産的な損害を受けるケースが後を絶ちません。
情報漏えい後、利用者が取るべき対策は?
もしあなたがカンタス航空のマイレージ会員や、過去に同社のカスタマーサポートシステムに登録した経験がある場合は、すぐに以下の対策を行うことをおすすめします。
① メールアドレスや重要なアカウントのパスワード変更
漏えいした情報を悪用され、他のサービスへの不正ログインや連携攻撃(漏えいしたIDとパスワードを使って他のサービスに不正ログインする手口)が行われる恐れがあります。普段使用しているメールアドレスのパスワード、銀行・ショッピング・SNSなど重要なアカウントのパスワードも併せて変更しましょう。
② 本人確認の方法を複数組み合わせる仕組み(多要素認証)の設定
特にマイレージ、航空券予約、オンラインショッピング、銀行口座などのサービスでは、パスワード+ワンタイムコードや生体認証などの多要素認証を設定することで、不正アクセスを防ぐ効果があります。
③ 不審な電話やメールに注意する
航空会社のカスタマーサポートや銀行を名乗る電話・メールが届いた場合、その場で案内に従わず、公式のカスタマーサポート窓口へ折り返し確認するようにしましょう。少しでも不審に感じたら、そのまま対応しないことが重要です。
また、今回の被害リストに含まれていない方でも、アカウントの不正ログイン履歴や取引履歴の確認を行い、常に情報漏えいや詐欺への警戒を怠らないようにしましょう。近年、オーストラリアのみならず世界中で個人情報の流出と詐欺被害は急増しており、誰もがリスクと隣り合わせの状況です。
企業が守るべきセキュリティ対策:MFAとすべてのアクセスを疑って確認するセキュリティの考え方(ゼロトラスト)の重要性
今回のカンタス航空の情報漏えい事件からもわかる通り、どれだけ本体のシステムを堅牢に守っていても、外部委託先のシステムや、たったひとつの社員アカウントの侵害が原因で、数百万件もの個人情報が危険にさらされる可能性があります。
この事例は、現代のサイバーセキュリティ対策において重要とされる**「すべてのアクセスを疑って確認するセキュリティの考え方(ゼロトラスト)」の原則**を改めて証明するものです。つまり、「すべてのアクセスは信頼せず、常に検証する」という考え方が、企業の情報資産を守る上で不可欠なのです。
なぜ本人確認の方法を複数組み合わせる仕組み(多要素認証)が不可欠なのか?
多要素認証(MFA:Multi-Factor Authentication)は、パスワードに加えて、ワンタイムパスワード(OTP)やハードウェアセキュリティキーなど複数の認証手段を組み合わせることで、ログイン時の認証強度を大幅に高める仕組みです。たとえハッカーにパスワードが漏れても、第二、第三の認証を突破するのは非常に困難です。
特に、今回のようなハッカー集団「Scattered Spider」は、人の心理をついて情報を盗む手口(ソーシャルエンジニアリング)を駆使して認証コードを騙し取る手法を得意としています。しかし、FIDO2セキュリティキーや行動リスクベース認証など、持ち運びが困難なハードウェアや動的認証を採用すれば、不正アクセスの成功率を大きく下げることが可能です。
推奨される対策
- SMSのみを利用した二段階認証の停止
- アプリ生成のワンタイムパスワードやセキュリティキーの全面導入
- 管理者や高権限アカウントに対するハードウェアセキュリティキーの強制適用
Keypasco MFAは、リーセックデジタルテクノロジー社が提供する多要素認証ソリューションで、FIDO2(安全な認証の仕組み)およびFIDO UAF標準を統合した高セキュリティかつパスワード不要のログイン体験を実現します。
- FIDO2(安全な認証の仕組み)国際標準に準拠 煩雑なパスワード管理の負担を軽減し、より安全な認証環境を提供します。
- パスワードレス+多要素認証 FIDO標準の認証方式に加え、デバイスフィンガープリント、位置情報、生体認証などを組み合わせることで、より強固な本人確認とセキュリティを実現。
- デバイス移行も簡単・安全 NFCデバイスを活用し、ユーザーは認証デバイスを迅速かつ安全に移行できます。
- 独自の特許技術「2チャネル認証アーキテクチャ」 ログインと認証の暗号化チャネルを分離し、中間者攻撃(MITM)、ブラウザ中間者攻撃(MiTB)、偽のサイトなどで情報を盗む詐欺(フィッシング)詐欺、アカウント乗っ取り(ATO)などを効果的に防止。
現在、このサービスは金融機関や大手企業を中心に広く導入されており、数百万人のユーザーに安全で快適なパスワードレスログイン環境を提供しています。
ゼロトラストネットワークアクセス(Zero Trust Network Access, ZTNA)とは何か?
ゼロトラスト(すべてのアクセスを疑って確認するセキュリティの考え方:Zero Trust)アーキテクチャは、サイバーセキュリティ業界で次世代の防御戦略として広く認知されています。その基本的な原則は以下の通りです。
- どのデバイスやアカウント、アプリケーションも最初から信頼しない
- すべてのアクセス時に、本人認証、行動モニタリング、リスク評価を必ず実施する
- リスクに応じてアクセス権限を動的に調整する
つまり、社内の従業員、外部委託のカスタマーサポート、取引先企業であっても、複数の検証プロセスを経て最小権限のアクセスしか許可しません。これにより、ハッカーが人の心理をついて情報を盗む手口(ソーシャルエンジニアリング)で一つの防御層を突破しても、ほかの部分にも被害が広がって企業ネットワーク全体を侵害するリスクを大幅に抑えることが可能になります。
「Keypasco ZTNA」はすべてのアクセスを疑って確認するセキュリティの考え方(ゼロトラスト)アーキテクチャに基づくセキュリティソリューションです。本製品はアメリカのNIST、CISA基準および台湾政府のすべてのアクセスを疑って確認するセキュリティの考え方(ゼロトラスト)技術フレームワークを参考に設計され、国家資通安全研究院の認証を取得しています。身元認証、デバイス認証、信頼推定技術を通じて、様々な企業や公共・民間部門に包括的かつ強力なセキュリティ保護を提供します。
- 本人認証:多要素認証に対応し、FIDO U2F、FIDO2ソリューションを提供。
- デバイス認証:デバイスの特徴やソフトウェア情報をスキャンし、Keypascoサーバーに保存して認証を実施。
- 信頼推定:人工知能による行動分析を用いてリスクを継続的に評価し、新たな認証をトリガー。
Keypascoは各国の法規制および実務要件に準拠し、現在国内外の政府機関、金融サービス、医療機関、スマートビルディング、ハイテク産業などに導入されています。今後も企業のセキュリティ対応力を高め、さまざまな分野のニーズに応えていきます。