航空機パイロットの情報が大量流出 どうして流出したのか

アメリカン航空とサウスウエスト航空のパイロット関係者9000人分の個人情報が流出した。それぞれの航空会社はサイバー攻撃を受けていない。なぜ流出したのだろうか。

[Matt Kapko，Cybersecurity Dive]

　アメリカン航空とサウスウエスト航空はパイロットの個人情報などが流出したことを発表したものの、社内のITシステムは無傷だという。

2社に共通する攻撃ポイントとは

　サイバー攻撃を受けていないにもかかわらず、なぜ個人情報が流出したのだろうか。

　原因は両社が使用していたサードパーティーのパイロット採用システムに対するサイバー攻撃だった。

　複数の航空会社が利用するパイロット採用ポータルサイトを管理するテキサス州の企業Pilot Credentialsのシステムが2023年4月30日ごろに不正侵入を受け、同年5月3日にデータが流出していたことが分かった。

　この事件は、サプライチェーンの中に組み込まれたサードパーティーのプラットフォームが攻撃を受けた場合、大手企業がいかに危険にさらされるのかを浮き彫りにしている。

専門資格情報などの個人情報が流出

　2社から流出したのはパイロットの資格を持っていたり、トレーニング中だったりする応募者と、今後両社のトレーニングを受ける予定の実習生の情報だ。

　当局に提出された文書によると、攻撃者はアメリカン航空の関係者5745人とサウスウエスト航空の3009人の関係者に関する専門資格証明書や政府発行のIDを含む書類を盗んだ（注1）（注2）。

　Pilot Credentialsは、攻撃者がどのように侵入して、どの程度のデータを盗んだのか、他の航空会社が潜在的に影響を受けているかについて、公開していない。

　両社によれば侵害されたのはPilot Credentialsのシステムに格納された情報のみだという。

　アメリカン航空とサウスウエスト航空は事件を受けて、サードパーティーベンダーを今後は使用せず、航空会社が管理する内部ポータルに情報を保存すると述べた。

　「この事件は当社の顧客データに影響を与えておらず、当社の内部システムや顧客データ、チームメンバーのデータは安全だ」（アメリカン航空の広報担当者）

　「今回の事故はサードパーティーベンダーに限定されたもので、当社のネットワークやシステムが影響を受けたり、危険にさらされたりした事実はない」（サウスウエスト航空の広報担当者）

泣き面に蜂のアメリカン航空

　アメリカン航空は2023年7月、今回の件とは別の直接的なサイバー攻撃を受けた。従業員を標的としたフィッシングメール攻撃により、同社の「Microsoft 365」環境が侵害されて、1700人以上の従業員の個人情報が流出した（注3）。

　「パイロット関連の情報が標的にされたり、悪用されたりした形跡は見つかっていない」（アメリカン航空）

出典：Cyberattack exposes data on nearly 9K American and Southwest Airlines pilot applicants（Cybersecurity Dive）

注1：Data Breach Notifications（Maine.gov）

注2：Data Breach Notifications（Maine.gov）

注3：American Airlines phishing attack involved unauthorized access to Microsoft 365（Cybersecurity Dive）