カンタス航空で600万人の個人情報が流出、アクロニスがサイバー攻撃の実態を公開

　アクロニス・ジャパンは7月7日に、カンタス航空において6月下旬に発生した600万にも及ぶ顧客情報漏えいに関連して、Acronis 脅威リサーチユニット（TRU）リサーチャーであるサンティアゴ・ポンティロリ（Santiago Pontiroli）氏による、メディア向けの声明を公開した。

●ハッキンググループ「Scattered Spider」が関与の可能性
　今回の顧客情報漏えいでは、カンタス航空におけるマニラ事業に関するサードパーティーのコールセンタープラットフォームにサイバー犯罪者が不正アクセスして、約600万人の顧客データに侵害があったという。漏えいした顧客情報には、氏名・電子メールアドレス・電話番号・生年月日・フリークエントフライヤー番号（マイレージプログラムの会員番号）が含まれていた。
　あわせてカンタス航空は、クレジットカード、パスポート、ログイン認証情報、金融データへの不正なアクセスがなかったこと、フリークエントフライヤーのアカウントの安全性は維持されており、これまでに不正利用の報告がないこと、同社は影響を受けたシステムを隔離して当局（AFP、ACSC、OAIC）に通知するとともに、外部のサイバーセキュリティー専門家による調査を開始したことを発表している。
　今回の侵害には、ビッシング（Vishing：電話や音声メッセージを悪用したフィッシング詐欺）やソーシャルエンジニアリングが関連している可能性が高く、ハッキンググループ「Scattered Spider」の関与が疑われる。
　Acronis TRUリサーチャーのサンティアゴ・ポンティロリ氏は、今回の侵害について新たな脅威ではなく、過去数年間に同様の事例が数十件存在していると指摘する。カンタス航空における侵害と似た事例としては、2018年にブリティッシュ・エアウェイズに対して行われた攻撃で、同社の決済ページで実行されているサードパーティのJavaScriptを侵害することによって、約40万人の顧客から名前、電子メールアドレス、クレジットカード情報が盗み出された。
　サンティアゴ・ポンティロリ氏は、財務データが含まれていなくても個人識別情報の流出は深刻な脅威になるとしており、個人識別情報の流出がユーザーのデータを使用した標的型フィッシングやビッシング、電話番号を使用したSMSベースの認証傍受によるSIMスワップとMFA（多要素認証）バイパス、不正な予約や特典の不正利用を引き起こし、金銭的損失につながる恐れのあるフリークエントフライヤー詐欺、生年月日、電子メールアドレス、電話番号などと他の漏えい情報を組み合わせることで本人になりすますアイデンティティ盗難につながる可能性があると警告する。
　また、今回のカンタス航空における侵害の影響を受けた顧客に対しては、カンタス航空および関連サービスを名乗る不審な電話、電子メール、テキストはすべて、疑いを持って慎重に対応すること、カンタス航空のアカウントを定期的にチェックして、不審なポイント利用や予約がないか確認すること、特に電子メールと旅行関連のアカウントを含むすべてのアカウントで、MFA（SMSではなく認証アプリが望ましい）を有効化すること、カンタス航空のパスワードを変更すること、セキュリティーアプリやサービス（クレジット監視、ダークウェブ監視など）のアラート設定を活用して、不正利用を早期に検知できるようにすることを求めている。
　さらに、どうすれば今回の侵害を防げたかについて、サンティアゴ・ポンティロリ氏は
○特に機密性の高い顧客データを扱うベンダーを含むすべてのサードパーティベンダーに、ゼロトラストポリシーを適用する
○サードパーティのアクセスを監査、および制限する。特に、インフラストラクチャーが脆弱なアウトソーシングされたコールセンターからのアクセスを監査する
○サードパーティープラットフォームにおいてPII（個人識別情報）をトークン化、または匿名化する
○異常なIPまたは場所からの疑わしいデータアクセスに対して、リアルタイムの異常検出を実装する
○すべての現場スタッフに対して、定期的なソーシャルエンジニアリングとフィッシング対策トレーニングを実施する
といった対策を挙げた。
【注目の記事】
オープンソースの脅威！ アクロニスがChaos RATの進化を徹底分析
アクロニスが約300件のインテグレーションを達成、MSPやISVを支援
アクロニスがサイバー攻撃を考察、CISOがコメント
アクロニスが1年間で750万件以上の攻撃を防止、サイバーセキュリティで
温室効果ガス排出量削減やサイバーセキュリティ強化の状況は？アクロニスがレポート公開