カナダの航空会社WestJetは、2025年6月のサイバー攻撃により、120万人の顧客がデータ漏洩の影響を受けたことを明らかにしました。
同社は9月29日、メイン州司法長官事務所に対し、データ漏洩の通知を提出し、最新情報を提供しました。
ネットワーク侵入の調査の結果、WestJetは「犯罪的な第三者」によって幅広い顧客の個人情報がアクセスされたことを確認しました。
これには氏名、連絡先情報、予約や旅行に関連して提供された書類や情報、WestJetとの関係に関するデータが含まれていました。
さらに、WestJetリワード会員の場合、会員資格に関連する情報も攻撃者にアクセスされた可能性があります。このデータには、事件発生日のWestJetリワードID番号やポイント残高、アカウント利用に関連するその他の情報が含まれる場合があります。
リワードアカウントへのアクセスに使用されるパスワードは漏洩していませんでした。
WestJet RBC Mastercard、WestJet RBC World Elite Mastercard、またはWestJet RBC World Elite Mastercard for Businessのカード保有者については、追加情報が漏洩した可能性があります。これにはクレジットカード識別子の種類や、WestJetポイント残高の変更に関する情報が含まれる場合があります。
関与したデータは顧客ごとに異なり、各顧客には個別に連絡が行われています。
「重要な点として、クレジットカード番号やデビットカード番号、有効期限、CVV番号、ゲストユーザーのパスワードは漏洩しておらず、当社のシステムは完全に安全です。当社の運航の安全性と完全性が疑問視されたことは一度もありません」とWestJetは顧客への通知書で述べています。
同航空会社は、盗まれたデータが、予約済みの旅行に関連したものも含め、なりすましや詐欺攻撃に利用される可能性があることを認めています。
現時点でそのような悪用は確認されていませんが、同社は「適切な場合」には関係者に対してなりすまし防止サービスを提供しています。
WestJetは、引き続きカナダの法執行機関や政府機関と協力し、事件の調査を続けています。
攻撃の手口についての詳細は公表されていません。WestJetによると、攻撃は「高度な犯罪的第三者」によって実行され、同社のシステムに不正アクセスが行われたとのことです。
「当社の事業の完全性にとってデータセキュリティが極めて重要であることから、この種のインシデントに備えており、即時に対応してインシデントを封じ込め、システムを保護するなど、対応計画に従って行動しました。その結果、当社の航空運航の安全性や完全性が疑問視されたことは一度もありません」とWestJetは述べています。
航空業界へのサイバー攻撃が激化
6月13日に判明したWestJetのデータ漏洩は、夏季に主要航空会社を襲った多数のサイバーインシデントの中で発生しました。
他の被害者には、オーストラリアのカンタス航空やハワイアン航空が含まれます。
カンタス航空は後に、約600万人の顧客の個人データが漏洩したことを明らかにしました。
これらの攻撃の主な目的は、航空会社の物理的な運航を標的とするのではなく、データの窃盗であったとみられています。
FBIは6月27日、悪名高いScattered Spiderグループが航空会社を標的にランサムウェアやデータ恐喝攻撃を積極的に行っていると警告しました。同グループは、初期アクセスのためにサードパーティITプロバイダーに対してソーシャルエンジニアリング手法を用いています。
9月には、サイバー攻撃によってサードパーティのソフトウェアサプライヤーが標的となり、ロンドン・ヒースロー空港やブリュッセル、ベルリン、ダブリンのターミナルなど、複数の欧州空港でフライトのキャンセルや遅延が発生しました。
英国当局は9月24日、この攻撃に関連して男性を逮捕したことを明らかにしました。
画像クレジット: Ramon Cliff / Shutterstock.com
翻訳元: https://www.infosecurity-magazine.com/news/westjet-data-breach-customers/
