スペインのフラッグキャリアが前例のない航空会社サイバー攻撃の波の最新被害者に。脅威アクターは、編集可能な予約システムを含む596GBの内部データへのアクセスを主張
2025年11月29日 – スペイン最大の航空会社イベリア航空は、サードパーティベンダーの侵害に起因する大規模なデータ漏えいを公表した。現在、エベレスト(Everest)ランサムウェア集団が、盗まれた顧客および運航データの公開を防ぐ見返りとして600万ドルを要求している。このインシデントは、2024年から2025年にかけて航空会社への攻撃が600%増加した中で、セキュリティ専門家が航空業界における前例のないサイバーセキュリティ危機と呼ぶ事態に、さらに憂慮すべき一章を加えるものとなった。
侵害のタイムライン:ダークウェブでの掲載から身代金要求まで
このセキュリティインシデントが最初に明るみに出たのは2025年11月14日で、サイバー犯罪フォーラム上に脅威アクターが現れ、イベリア航空のデータ77GBを保有していると主張し、15万ドルでの売却を試みたときだった。広告されたデータセットには、エアバスA320およびA321機の技術文書、AMP保守ファイル、エンジンデータ、署名や証明書を含む内部文書が含まれていたとされる。
9日後の11月23日、イベリア航空は顧客にメールで通知を開始し、サプライヤーのシステムへの不正アクセスにより、一部の顧客情報が流出したと説明した。同社は、侵害された可能性のあるデータとして以下を挙げている:
- 顧客の名および姓
- メールアドレス
- イベリアクラブのロイヤルティカード識別番号
重要な点として、イベリア航空は、顧客アカウントのログイン認証情報、パスワード、ならびにすべての銀行情報や決済カード情報は侵害されていないと述べている。
しかし、11月29日、エベレストランサムウェア集団が攻撃の犯行声明を出し、侵害の範囲が当初の公表よりもはるかに広いことを明らかにしたことで、状況は劇的に変化した。エベレストのダークウェブ上の投稿によれば、同集団は596GBの社内データを盗み出し、すべてのイベリア航空の予約に対して「長期的かつ制限のないアクセス」を維持しており、それらを閲覧・編集できる状態にあるという。
同集団は現在、データが第三者に販売されるのを防ぐ見返りとしてイベリア航空に600万ドルを要求しており、「完全なデータ流出は、顧客と企業の双方にとって壊滅的な結果をもたらし、大量のスパムと詐欺の波を引き起こす」と警告している。
エベレストとの関連:欧州空港の混乱を引き起こしたロシア系集団
イベリア航空の侵害は、2021年から活動しているロシア系サイバー犯罪組織、エベレストランサムウェア集団の特徴を色濃く示している。同集団は、2022年10月に通信大手AT&Tを攻撃して注目を集め、最近ではブラジルの石油大手ペトロブラスやスポーツウェアブランドのアンダーアーマーなどの大企業を標的にしている。
特に重要なのは、エベレストが、複数の欧州主要空港に混乱をもたらしたコリンズ・エアロスペースのMUSE(Multi-User System Environment)ソフトウェアに対する2025年9月のランサムウェア攻撃の首謀者であったことだ。この攻撃ではHardBitランサムウェアが使用され、ロンドン・ヒースロー、ブリュッセル空港、ベルリン・ブランデンブルク、ダブリン空港のチェックインシステムが麻痺し、数百便のフライトに影響が出て、空港は手作業によるチェックイン手続きに戻らざるを得なかった。
ダブリン空港は最も深刻な影響を受けた空港として浮上し、担当者はサーバーを「ゼロから」再構築しなければならず、復旧の明確なタイムラインはなかったと認めている。このインシデントにより最終的に、2025年8月の渡航に関する380万人分の搭乗券データが流出した。
サードパーティベンダーリスク:航空業界のアキレス腱
サードパーティサプライヤーを通じたイベリア航空の侵害は、航空業界における最も重大な脆弱性となっているサプライチェーンセキュリティを浮き彫りにしている。同社は、どのベンダーが侵害されたのか具体名を明らかにしていないが、このパターンは、攻撃者が航空会社そのものではなくサプライヤーを標的にした最近の他の航空関連侵害と類似している。
このサプライチェーン攻撃の手法は、2025年を通じて業界全体に壊滅的な効果をもたらしている:
カンタス航空(2025年7月):オーストラリアのフラッグキャリアであるカンタス航空は、スキャタード・スパイダー(Scattered Spider)ハッキンググループが、同社のコールセンターの一つで利用されていたサードパーティのSalesforceプラットフォームを侵害した結果、570万件の顧客記録が漏えいしたことを確認した。攻撃者は、AIを活用した「ビッシング」(音声フィッシング)手法を用いて、マニラ拠点のコールセンター従業員を操り、マルウェアをインストールさせた。注目すべきは、カンタス航空が身代金の支払いを拒否したことであり、これはサイバー犯罪者に支払いを行うオーストラリア企業の96%とは一線を画す対応だった。
エールフランス-KLM:欧州の航空グループであるエールフランス-KLMは、最終的に世界中で700以上の組織に影響を与えた、Scattered Lapsus$ HuntersによるSalesforceの脆弱性を悪用した協調攻撃キャンペーンで侵害された数十社の一つだった。
アメリカン航空子会社(2025年10月):地域航空会社のエンヴォイ・エア(Envoy Air)は、Clopランサムウェア集団の攻撃を受けた。同集団は、CVSSスコア9.8の重大なOracle E-Business Suiteゼロデイ脆弱性(CVE-2025-61882)を悪用した。これはアメリカン航空がClopと遭遇した初めての事例ではなく、同社は2023年の大規模なMOVEit Transferゼロデイキャンペーンでも同集団の被害に遭っている。
ウエストジェット(2025年6月):カナダ第2の航空会社であるウエストジェットはScattered Spiderの標的となり、カナダの航空インフラに対する最も重大なサイバー攻撃の一つとなった。この攻撃により、同社のモバイルアプリケーションと内部システムが混乱したものの、運航自体は安全で影響を受けなかった。
サプライチェーンの脆弱性について、Check Pointのサイバーセキュリティ専門家シャーロット・ウィルソンは次のように説明している。「これらの攻撃は多くの場合、サプライチェーンを通じて発生し、複数の航空会社や空港が同時に利用しているサードパーティプラットフォームの脆弱性を突きます。一つのベンダーが侵害されると、その波及効果は即座かつ広範囲に及び、国境を越えた大規模な混乱を引き起こし得るのです。」
予約システムへの脅威:従来型データ漏えいを超えて
イベリア航空の侵害に関するエベレストの主張が特に憂慮されるのは、完全に編集可能な予約情報へのアクセスを有していると断言している点である。同集団自身が述べているように、「完全なデータ流出は、顧客と企業の双方にとって壊滅的な結果をもたらし、大量のスパムと詐欺の波を引き起こす」。
これは、典型的なデータ漏えいをはるかに超える重大なエスカレーションを意味する。多くの航空会社(イベリア航空を含む)は、予約確認メールに詳細な予約情報や乗客情報を記載しており、また予約の管理には姓と予約番号だけで済むことが多いため、その影響は当初公表された顧客データの範囲を大きく超える可能性がある。
イベリア航空を利用した乗客は、直ちに以下のようなリスクに直面している:
標的型フィッシングキャンペーン:サイバー犯罪者は、予約番号や旅程情報を利用して、航空会社を装った極めてもっともらしいフィッシングメールを作成できる。
ソーシャルエンジニアリング攻撃:氏名、連絡先情報、渡航パターンが揃えば、攻撃者は航空会社のカスタマーサービス担当者になりすましたり、高度な電話詐欺を仕掛けたりできる。
予約の改ざん:エベレストの予約システムへの編集可能なアクセスという主張が事実であれば、脅威アクターは予約内容を変更したり、フライトをキャンセルしたり、予約を別の便に振り替えたりすることが可能になり、運航上の大混乱と詐欺の機会を同時に生み出し得る。
マイレージアカウントの乗っ取り:流出したイベリアクラブのロイヤルティ番号により、ロイヤルティプログラムアカウントへの不正アクセスが可能となり、マイルやポイントの窃取につながる恐れがある。
イベリア航空の対応と業界への影響
侵害への対応として、イベリア航空は複数の保護策を実施している:
- 顧客アカウントに紐づくメールアドレスを変更する前に、追加の認証コードを要求する仕組みを導入
- 不審な活動を検知するためのシステム監視を強化
- データ保護当局を含む関係当局への通知
- インシデントを封じ込めるためのセキュリティプロトコルを起動し、技術的および組織的対策を実施
- 関与したサプライヤーと連携した継続的な調査
同社は顧客への通知の中で次のように強調している。「本コミュニケーションの日付時点で、当社はこれらのデータが不正に利用された証拠を有しておりません。いずれにせよ、お客様には、潜在的な問題を回避するため、受信される不審な連絡にご注意いただくことをお勧めいたします。」
顧客には、不審または異常な活動をイベリア航空のコールセンター(+34 900111500)に報告するよう促している。
しかし、イベリア航空の当初の公表内容(77GB、顧客データのみ)とエベレストの主張(596GB、技術データおよび予約システムへのアクセスを含む)との乖離は、イベリア航空の調査の完全性、あるいは集団側の信頼性について重大な疑問を投げかける。航空業界は、コリンズ・エアロスペース攻撃のような事例から、初期の侵害評価が真の侵害範囲を過小評価しがちであることを学んでいる。
2025年航空サイバー攻撃危機:システム的脆弱性のパターン
イベリア航空の侵害は、世界の航空インフラに対する全面的な攻撃という文脈の中で理解されなければならない。2024年から2025年にかけて、同セクターに対するサイバー攻撃は600%という驚異的な増加を見せており、金銭目的のサイバー犯罪者と国家支援の攻撃者の双方が、ますます高度な手口で航空会社や空港を標的にしている。
スキャタード・スパイダーキャンペーン:FBIは、複数の著名な航空関連侵害を、2025年6月から航空業界を体系的に標的にし始めたスキャタード・スパイダー(Scattered Spider)ハッキンググループに直接結びつけた。Microsoftは、この動きが、同グループが数週間から数か月にわたり一つのセクターに集中して攻撃を行い、その後新たな標的に移るというパターンと一致すると報告している。同グループは、Lapsus$ HuntersやUNC3944としても追跡されており、2023年のラスベガスのカジノや、2025年前半の英国百貨店への攻撃にも関与している。
インフラへの攻撃:データ漏えいにとどまらず、重要な空港インフラも深刻な攻撃にさらされている。2025年3月には、クアラルンプール国際空港が1,000万ドルの身代金を要求するサイバー攻撃に見舞われ、重要な空港システムが混乱し、マレーシアの国家サイバーセキュリティ対応が発動された。米国の主要空港でも、フライト情報表示、オンラインチケット販売、チェックインシステムが一時的に停止する協調型DDoS攻撃が発生した。
地政学的な標的化:ロシアのフラッグキャリアであるアエロフロートは、親ウクライナ派ハッカー集団Silent Crowがサイバー攻撃の犯行声明を出した後、100便以上のフライトを欠航せざるを得なくなり、航空がサイバー戦の戦場となっていることを示した。
単一障害点(Single Point of Failure)の問題
2025年の航空サイバー攻撃を通じて繰り返し見られるテーマは、集中型システムと共有インフラが生み出す脆弱性である。コリンズ・エアロスペースインシデントの分析が示したように、EUの空港のおよそ70%が、旅客接点の95%においてMUSEのようなサードパーティの共用システムに依存している。一つのシステムがランサムウェアなどで停止すると、影響は一つの航空会社や一つの空港にとどまらず、大陸全体の航空インフラに同時多発的に波及する。
旅行アナリストのポール・チャールズは、このシステムリスクを次のように説明している。「これは非常に巧妙なサイバー攻撃で、多数の航空会社と空港を同時に巻き込んでいます。攻撃者は、欧州各地の複数の空港で、航空会社が多くの乗客をさまざまなカウンターでチェックインすることを可能にしている中核システムに侵入したのです。」
このアーキテクチャ上の弱点は、サイバーセキュリティ専門家が「単一障害点」と呼ぶものであり、一度の成功した攻撃が複数の空港や航空会社に連鎖的な影響を及ぼし、数千便のフライトと数百万人の乗客に影響を与え得る。欧州連合サイバーセキュリティ庁は、このパターンが脅威アクターの戦略における根本的な変化を示していると認めており、犯罪者は影響を最大化するためにサプライチェーンプロバイダーを意図的に標的にしている。
レガシー障害からの教訓
航空業界のインフラ脆弱性は新しいものではない。2016〜2017年に発生したデルタ航空とブリティッシュ・エアウェイズの壊滅的なデータセンター障害がそれを示している。これらのインシデントは、合計3億3,000万ドル以上の損失を生み、15万人以上の乗客を足止めしたが、「人的ミス」によるものとされた。しかし実際には、インフラ投資、冗長性計画、ベンダーマネジメントにおけるシステム的な失敗を反映していた。
このパターンは今も続いている。組織はインフラのレジリエンスへの投資を最小限に抑え、重要な保守やアップグレードを先送りし、十分なバックアップシステムを持たないまま単一のベンダーに依存し、そして壊滅的な障害が発生すると、システム的な脆弱性ではなく個々のミスに責任を転嫁する。
現在異なるのは、脅威アクターがこうした組織的弱点を武器化する術を学んだ点である。現代の攻撃は、「偶発的」な障害がもたらす運用上の損失に加え、個人情報の窃取、詐欺、長期的な風評被害をもたらす。
経済的影響と業界の対応
航空サイバー攻撃の経済的影響は甚大である。2023年には、サイバーデータ侵害の平均コストは約445万ドルに達しており、風評被害は含まれていない。悪意によるものではなかったものの、最近のCrowdStrikeインシデントは、デルタ航空が業務中断による損失として約5億5,000万ドルを計上したことで、このセクターの脆弱性を浮き彫りにした。
エベレストから600万ドルの身代金要求を受けているイベリア航空にとって、支払うかどうかの判断は重大な意味を持つ。身代金額は多額だが、以下のコストと比較すれば相対的に小さい可能性もある:
- 顧客への通知およびクレジットモニタリングサービスの提供
- GDPRなどのデータ保護法に基づく規制罰金
- 集団訴訟などの法的費用
- 風評被害および顧客離れ
- 強化されたセキュリティ対策およびインフラ改善
- 長期的な詐欺モニタリングおよび被害救済
航空サイバーセキュリティ市場は、航空会社や空港が防御能力の強化に奔走する中、2025年には53億2,000万ドルに達し、その後2029年まで年率8.7%で成長すると予測されている。
規制および政策面での影響
一連の航空関連侵害を受け、以下のような要求が高まっている:
より厳格なサイバーセキュリティ基準:航空会社および重要ベンダーに対する義務的なセキュリティ要件と、定期的な監査およびコンプライアンス検証。
インシデント対応の強化:空港、航空会社、サイバーセキュリティ機関、国際的な法執行機関の間の連携強化。
サプライチェーンセキュリティ:顧客データや運航システムへのアクセスを持つすべてのサードパーティベンダーについて、そのセキュリティ態勢を監査し継続的にモニタリングすることを航空会社に義務付けること。
インシデント報告の義務化:侵害範囲と影響に関する、より迅速かつ詳細な公的開示。
データ最小化:ベンダーがアクセス・保有できる顧客データの種類と保存期間に対する制限。
欧州連合サイバーセキュリティ庁は、この危機への対応に特に積極的であり、加盟国の航空セクター間での連携と情報共有の改善に取り組んでいる。
乗客および組織への推奨事項
イベリア航空の乗客向け:イベリア航空を利用したことがある、またはイベリアクラブ会員である旅行者は、以下を実施すべきである:
- イベリア航空または提携航空会社を名乗る不審なメール、電話、SMSに注意を払う
- フライトの変更、キャンセル、対応を求める連絡を受けた場合は、必ずイベリア航空の公式チャネルを通じて真偽を確認する
- イベリアクラブアカウントに不正な活動やポイント利用がないかモニタリングする
- 個人情報や支払い情報を求める予期せぬ依頼には特に注意する
- イベリアクラブのパスワード変更や追加のセキュリティ機能の有効化を検討する
- 異常な活動を発見した場合は、イベリア航空のコールセンター(+34 900111500)に報告する
航空会社および航空関連組織向け:イベリア航空の侵害は、以下のような重要なセキュリティ課題を浮き彫りにしている:
厳格なベンダーセキュリティ評価:サードパーティプロバイダーのセキュリティ態勢を継続的に評価すること。具体的には:
- 定期的なペネトレーションテストおよび脆弱性評価
- アクセス制御およびデータ取扱い手順の監査
- インシデント対応能力の検証
- コンプライアンス違反に対する罰則を含む契約上のセキュリティ要件
ネットワークセグメンテーション:ウエストジェットがモバイルアプリ侵害にもかかわらず安全な運航を維持できた事例が示すように、顧客向けシステムと重要な運航インフラを適切に分離すること。
ゼロトラストアーキテクチャ:すべてのベンダー接続に対して最小権限アクセスの原則を適用し、継続的な検証とモニタリングを行うこと。
バックアップと復旧:コリンズ・エアロスペース攻撃で、十分なバックアップがなかったためにサーバーをゼロから再構築する必要が生じ、数日にわたる危機となったことが示すように、定期的にテストされた災害復旧システムを備えた堅牢な事業継続計画が不可欠である。
従業員トレーニング:初期侵入経路の大半を占めるソーシャルエンジニアリング攻撃(特にScattered Spiderのようなグループが多用)に対抗するため、包括的なセキュリティ意識向上プログラムを実施すること。
インシデント対応計画:事前に定められたコミュニケーションプロトコル、フォレンジック調査能力、身代金要求への対応方針などを整備しておくこと。
今後の道筋:悪循環を断ち切るには
Scattered Spiderによる航空キャンペーンの最中、Google Mandiantのサイバーセキュリティ専門家チャールズ・カルマカルは次のように警告していた。「Scattered Spiderは、数週間単位で特定のセクターに集中してから標的を拡大する傾向があります。このアクターが単一セクターに集中する習性を踏まえると、業界は直ちにシステム強化に取り組むべきです。」
この警告は的中した。航空業界はいま、サイバーセキュリティのレジリエンスに先行投資するか、あるいはますます高度化・深刻化する攻撃に対して後手に回り続けるかという選択を迫られている。
元Microsoft脅威アナリストのケビン・ボーモントは、これを次のように端的に表現している。「これらの混乱は、より大規模な攻撃に向けたリハーサルに過ぎません。レガシーシステムへの依存度の高さゆえに、航空業界は格好の標的となっているのです。」
2025年の壊滅的な航空サイバー攻撃の波の終盤に発生したイベリア航空の侵害は、警鐘であると同時に好機でもある。いま、厳格なベンダーマネジメント、ネットワークセグメンテーション、バックアップシステム、従業員トレーニングなどを含む包括的なセキュリティ改善を実施する航空会社や空港は、次の見出しになることを回避できる。
そうしない組織は、2025年を通じて繰り返し見られたパターン、すなわち初期侵害、身代金要求のエスカレーション、大規模な顧客データ流出、規制当局からの制裁、長期的な風評被害の道をたどるリスクを負うことになる。
イベリア航空が600万ドルの身代金をめぐってエベレストと交渉を続ける中、数百万人の乗客は、自身の予約データがダークウェブ上に流出・販売されるかどうかの行方を見守っている。このインシデントは、相互接続された現代社会において、航空サイバーセキュリティが単なるITの問題ではなく、乗客の安全、経済の安定、重要インフラの保護に直結する課題であることを痛感させる出来事となった。
本件に不安を感じているイベリア航空の顧客は、専用サポートライン(+34 900111500)に連絡するか、イベリア航空の公式チャネルを通じた案内を確認することを推奨する。
