サイバー犯罪
プライバシー規則に違反せずとも、570万人分の個人情報が漏えいすることはあり得る
オーストラリアのプライバシーコミッショナーは、豪州航空会社カンタスで2025年に発生した大規模データ侵害の原因がテクニカルサポート詐欺であったことを明らかにし、570万人の顧客の個人識別情報(PII)が流出したにもかかわらず、同社はプライバシー義務に違反していなかったとの見解を示しました。
コミッショナーは本日公表された報告書の中で、この結論とあわせて、正式なプライバシー調査を開始しない旨の判断を示しました。
カンタスはこれまでにも、今回の事案がコンタクトセンターを狙ったソーシャルエンジニアリング攻撃によるものだったと認めていました。コミッショナーの報告書はさらに踏み込み、「カンタスITヘルプ」を名乗る犯人が電話をかけ、コンタクトセンターの担当者に対してCRMシステムへのアクセスと、サポートチケットを終了するために必要とされる一定の操作を行うよう指示したと説明しています。
しかし実際には、その操作によってCRMがデータ抽出ツールに接続され、犯人らはこれを使って顧客記録を抜き取っていました。
コミッショナーは、企業が個人情報をどのように保護すべきかを定めた拘束力のある規則である豪州プライバシー原則(APP)をカンタスが遵守していたかどうかを検討し、同社が適切に対応していたとの結論に至りました。
報告書によれば、カンタスはコンタクトセンターの運営事業者を監査し、従業員のセキュリティ意識をテストしており、しかもそれは事案発生の数か月前に実施されていました。カンタスはまた、PIIの取り扱いに関する必須の反復トレーニングも実施していました。こうした点から、コミッショナーはカンタスがコンタクトセンターにAPPを遵守させるための十分な措置を講じており、義務を怠っていなかったと判断しました。
規制当局は、同社の国境を越えたデータ共有の実務についても同様の判断を示しました。
「今回の調査では、対応していれば本件の侵害を防げたであろうカンタス側の対応漏れは確認されませんでした」と報告書は述べています。
APPには、個人情報を不正アクセスから保護するために合理的な措置を講じることが求められています。この点についても、カンタスがロールベースのアクセス制御をはじめとする各種手法でデータを保護していたことから、コミッショナーは同社が要件を満たしていたと判断しました。
規制当局が検討したもう一つの論点は、カンタスが不要になった個人情報を破棄または匿名化するための合理的な措置を講じていたかどうかでした。カンタスはプライバシーコミッショナーに対し、CRMからのデータ削除作業を年次で実施しており、攻撃発生時点で削除・除去されるべき記録は残っていなかったと説明しました。
こうした対応の実績を踏まえ、コミッショナーはさらに踏み込んだ調査を開始しないことを決定しました。
「APPへの違反に該当する可能性があり、かつそうすることが望ましいと判断される場合、私には調査を開始する広範な裁量権があります」と報告書は述べています。この一人称表現はおそらく、コミッショナーであるカーリー・カインド氏自身の言葉によるものとみられ、同氏は「カンタスが、実際に発生したような形で侵害を合理的に予見し防止できたとは考えにくい状況です。脅威アクターが侵入に用いた手口はビッシング攻撃であり、カンタスの現行のロールベースアクセス制御を強化したとしても防げるものではありませんでした」と述べています。
コミッショナーが今後改めて本件を取り上げる可能性は残っており、この事案をめぐっては集団訴訟も進行中です。したがってカンタスにとって、この問題が完全に着地するまでにはまだ多くの乱気流を乗り越える必要があるかもしれません。
今回の報告書が触れていない点の一つが、攻撃者の身元です。専門家の間では、Qantasの事案発生の数週間前から航空業界への攻撃を開始していたScattered Spiderが今回の犯行に及んだとの見方が示されています。®