イージージェットのデータ侵害事件で起こったこと

２０２０年に起きたイージージェット（EasyJet） のデータ侵害は、２０１８年にブリティッシュ・エアウェイズ（British Airways）が被害を受けたデータ侵害から２年足らずの間に起こった、ヨーロッパの主要航空会社に対するサーバー攻撃となりました。

ブリティッシュ・エアウェイズは、サイバー犯罪者により３８万人のクレジットカード情報を含む４２万人の顧客データを盗まれてしまいました。

‎イージージェットのに対するデータ侵害は、約９００万人の顧客に影響を与えましたが、CVV番号を含むクレジットカード情報が盗まれたのは２,２０８人にとどまりました。‏‏

これらの航空会社に対して起こったことが、繰り返されないよう、ぜひTeamPasswordでログイン情報やパスワード管理をお試しください。無料トライアルも提供しております。

ブリティッシュ・エアウェイズのデータ侵害事件で起こったこと

イージージェットのデータ侵害事件について理解するには、まずブリティッシュ・エアウェイズのデータ侵害の影響を理解することが重要です。

英国の情報コミッショナー事務所（ICO）は、顧客のデータを保護しなかったとして、（当初の１億８３００万ポンドから減額されましたが）２７７０万ポンドの罰金を科しました。ちなみにブリティッシュ・エアウェイズ事件までは、ケンブリッジ・アナリティカ問題関連での、「Facebook への５０万ポンド」が ICO の罰金では最高額でした。

ただ、ブリティッシュ・エアウェイズの顧客への被害はごくわずかで、盗まれたカードのうち１枚を使ってイギリスの高級百貨店ハロッズ（Harrods）で商品を電話で購入しようとした人がいたという報告が１件ありましたが、幸いその取引も銀行に拒否されています。

ブリティッシュ・エアウェイズに対する大規模集団訴訟

ICO の罰金に加え、PGMBM という法律事務所が、１６,０００人の被害者を代表して８億ポンドを求める集団訴訟を起こしましたが、結局、２０２１年７月に非公開の法廷外和解が成立しました。

英国では集団訴訟は珍しいので、この和解の成立は重要であり、英国やEUに拠点を置く企業への警鐘となったはずです。‏‏

イージージェットのデータ侵害事件で起きたこと

イージージェットは、２０２０年に何が起こったのかについて口を閉ざしたままですが、声明で 「高度に洗練されたサイバー攻撃」だったと述べています。そしてこの侵害は、２０１９年１０月１７日から２０２０年３月４日の間に同社のフライトを予約した顧客に影響を与えました。

イージージェットは２０２０年１月にデータ侵害の警告を受けましたが、事件についての調査を行いながら５月になってやっと公表し、CVV番号付きのクレジットカード情報２,２０８件を含む９００万人の顧客が、この侵害により危険にさらされたと発表しました。

イージージェット最高経営責任者であるヨハン・ラングレン氏は、「いかなる種類の個人情報も悪用されたという証拠はありませんが、ICO の勧告により、旅行情報がアクセスされた約９００万人の顧客と連絡を取って、フィッシングの可能性があるリスクを最小限に抑えるための保護措置を助言しています。」との声明を出しました。

イージージェット がこのような声明を出すのは、いささか無責任であり、おこがましく思われます。そのような声明を出されたところで、その個人情報がどこに行き着いたのかや、この事件の責任は誰が負うのかを判断する術がありません。

しかし、盗まれた情報によって、犯罪者はフィッシング詐欺やその他のサイバー犯罪を行うことができることから、同社はSMSやメールなど、航空会社からの通信を開封する際には警戒するよう、顧客に注意喚起を行いました。

イージージェットのデータ侵害事件によるクレジットカードの不正使用

英国のサイバー犯罪報告機関である Action Fraud によると、ヨハン・ラングレン氏の発言は誤りであり、２０２０年５月までに、イージージェットのデータ侵害に起因するクレジットカード詐欺の報告は５１件ありました。

イージージェットへのサーバー攻撃直後に２,７５０ポンドを失った顧客１名を含め、クレジットカード保有者の推定損失額は１１,７５２.８１ポンドに上ります。

２０２０年のイージージェットデータ侵害事件の余波

イージージェットへの処罰はまだ決まっていませんが、ICO がこの件に関する調査を行っており、ブリティッシュ・エアウェイズに起こったことから判断すると、イージージェットはおそらく罰金を科されることになるでしょう。

GDPR（EU一般データ保護規則）では、個人情報の安全な保管に不備がある企業は、ICO から航空会社の２０１９年の売上高６兆３,０００億ポンドの４％の罰金を科される可能性があるとしています。

イージージェットへの集団訴訟

そして、傷口に塩を塗るように、ブリティッシュ・エアウェイズの集団訴訟を手がけた法律事務所である PGMBM は、イージージェットに対して１８０億ポンドの集団訴訟を起こしました。

この問題におけるイージージェットの最大の失敗は、情報侵害の公表を４ヶ月も引っ張ったことであり、公表が早ければ金銭的損失を防ぐことができたかもしれません。

PGMBM は提訴の際、「流出した機密個人データには、フルネーム、メールアドレス、出発日、到着日、予約日を含む旅行データが含まれており、特に、個々の個人的な旅行パターンの詳細が明かされたことは、個人にセキュリティリスクがもたらされる可能性があり、プライバシーの重大な侵害である。」と述べています。

GDPRの規定では、情報侵害の際に情報が盗まれた場合、顧客は補償を受ける権利があります。さらに、イージージェットが情報侵害について顧客に伝えるのに４カ月もかかったことは、裁判所には悪いイメージを与えることになるでしょう。

‏‏ハッカーがイージージェットのシステムに侵入した方法

イージージェットは、ハッカーがどのようにシステムに侵入したのかの詳細を発表していませんが、BBCとのインタビューで「高度に洗練された攻撃者であり、我々がその攻撃の範囲を把握し、誰が影響を受けたかを特定するのに時間がかかりました... 」と述べています。

イージージェットは、様々なサイバー犯罪、特にイージージェットの通信を偽装したフィッシング攻撃の危険にさらされる可能性のある９００万人の顧客を守るために公表したと主張しています。

イージージェットによると、ハッカーは顧客データではなく、航空会社の知的財産を狙っており、政府または企業のスパイ活動の可能性を示唆しています。もしそうだとすれば、イージージェットのデータ侵害は、一般的なものよりもはるかに深刻な問題になります。

TeamPasswordの１４日間無料トライアルで、ハッカーによるデータ侵害を防ぎましょう。‏

‏イージージェットの顧客に対する潜在的なリスク

イージージェットの攻撃が何らかのスパイ行為であったとしても、攻撃者が顧客データをブラックマーケットで売ることを止める術はありません。そして９００万人の顧客の中には、サイバー犯罪者が今後の企業攻撃に利用できるビジネス用のメールアドレスもあると思われます。

フィッシング攻撃

イージージェットの顧客にとっての最大の懸念は、フィッシング攻撃です。サイバー犯罪者は、メール、SMS、音声通話など、イージージェットの通信を偽装して被害者とコミュニケーションを取ろうとしてくる可能性があります。

その内容は、イージージェットの最新の旅行プランを宣伝するメールのようなごく普通のものであり、断るには勿体ないお得な案内に見える可能性があります。そのメールに記載されたリンクから、偽の航空券や旅行パッケージが掲載されたイージージェットの偽サイトに被害者が誘導されてしまうのです。

被害者がこういった偽の航空券やパッケージを購入した場合、犯罪者が悪用したりダークウェブで販売するのに使えるクレジットカードの詳細を、そのウェブサイト上で取得します。

また、サーバー犯罪者はイージージェットの顧客に返金を申し出ることで、顧客に連絡して「返金処理のための支払い情報の確認」のためと言ってクレジットカード情報を要求することがあります。

マルウェア攻撃

犯罪者は、被害者のデバイスにマルウェアやウイルスをインストールするために、イージージェットからに見せかけたメールを送ってくる可能性があります。マルウェアがインストールされると、犯罪者はあなたのデバイスの監視、キー入力の記録、カメラやマイクの作動、機密情報へのアクセスができるようになります。

リンクをクリックするだけで、知らないうちに偶然マルウェアをインストールしてしまうこともあります。そしてそのリンクは、イージージェットの顧客向けのSMSやメールとして届き、航空会社からのものと思われるため、誤ってクリックされてしまう可能性が高くなります。

クレデンシャルスタッフィング攻撃

犯罪者は、データ侵害時に盗んだ認証情報を使って、ユーザーがアカウントを持っている可能性のあるWebサイトやアプリケーションにアクセスすることがよくあります。サイバー犯罪者は、自動化と消去プロセスを使ってボットを送り込み、何千ものウェブサイトやアプリケーションに対して、ユーザーのメールアドレスとパスワードをテストします。

最近のクレデンシャルスタッフィング攻撃の例としては、２０２１年に任天堂で起きた、ハッカーが Nintendo Switch のアカウント３０万件にアクセスしたデータ侵害事件が挙げられます。

自社でのデータ侵害を防ぐには

イージージェットのデータ侵害の正確な原因は不明ですが、ハッカーが組織に侵入する方法はいくつかあり、情報漏えいの大半が犯罪者が企業の内部システムへのアクセスに使う「従業員のログイン認証情報」の盗難を伴います。

TeamPasswordは、あらゆる規模の企業がパスワードを安全に共有・管理するために、最先端の暗号化技術を使用した手頃なソリューションであり、TeamPassword のようなパスワードマネージャーの使用は、アクセスを監視し、認証情報の不正共有を防ぐには効果的な方法です。

TeamPasswordとは

TeamPasswordは、チームメンバーとログイン認証情報を共有する企業に向けたパスワードマネージャーであり、生のログイン認証情報の共有ではなく、各チームメンバーに TeamPassword のアカウントを提供します。

SNS のアカウント、会計ソフト、開発・マーケティングツール、コンテンツ管理システムなど、チームメンバーはパスワード入力の代わりに、TeamPasswordを使ってアカウントにログインしています。

チーム用の構築

TeamPassword は、正社員や契約社員、フリーランサーとのパスワードの共有が安全で簡単なことが利用客に好評であり、TeamPassword を使ってグループを作成し、必要な人だけにアクセスの提供ができます。

例えば、クライアントのSNSを管理している場合、TeamPasswordでグループを作成して「SNSチーム」をそのグループに追加でき、チームメンバーを削除する場合はワンクリックで削除できます。

複数のブラウザの拡張機能

TeamPassword は Chrome、Firefox、Safari のブラウザ拡張機能を備えており、チームメンバーは常に好みのデバイスでアカウントにアクセスすることができます。

アクセスするには、ユーザーはアクセスしたいウェブサイトまたはアプリケーションに移動してTeamPassword のブラウザ拡張機能をクリックし、関連するログイン認証情報を選択します。

安全なパスワードジェネレータ

TeamPassword に内蔵されているパスワードジェネレーターを使えば、ワンクリックで強固なパスワードを作成することができ、大文字、小文字、記号、数字を含む１２～３２文字のパスワードを生成することによって、どのパスワードもユニークで安全であることが保証されます。

また、パスワードを更新すると、TeamPassword が自動的に全チームメンバーの新しい認証情報を更新します。

2FA（２要素認証）

万が一、チームメンバーのパスワードが盗まれたり、デバイスを紛失したりした場合、2FA（２要素認証）が第二の防衛ラインとして機能し、その際、TeamPasswordでは、iOS と Android デバイスで利用可能な Google Authenticator が使わます。

活動記録と通知

活動記録（アクティビティログ）により、管理者はログイン、共有、パスワードの更新など、TeamPasswordのあらゆる動きを監視することができ、機密アカウントのメール通知を設定することで、不正なアクセスや共有を常に把握することができます。
‏‏

１４日間の無料トライアルで TeamPassword の機能をご体験いただき、早速パスワードやログイン情報を管理してみましょう！