JALが会員情報の漏洩を発表
JALが「JALマイレージバック」の会員情報漏洩についてリリースを出した。
JAL社のシステムには影響はなく、提携先であるSITA社がハッキング被害を受け、SITA社に提供しているJMB会員情報が漏洩したというもの。
なお、漏洩したデータは氏名・JMB会員番号・ワンワールドステータスのみで、パスワードやメルアドは含まれていない。
SITA社セキュリティ事故によるJALマイレージバンク会員情報の漏洩について
またJALでは、漏洩の対象となった会員に別途メールで同内容を通知している。
自分も対象になっておりメールがきましたが、メールの前文は以下の通り。
今般、当社は、SITA社(※)から、JMB会員情報の一部について漏洩の報告を受けました。
このメールは対象となるお客さまに発信させていただいております。
【重要なお知らせ】SITA社におけるセキュリティ事故に関する日本航空への影響について
日経新聞によると、「2011年以降にSITA社に作られたデータが漏洩対象」ということのなので、2011年以降にワンワールド・ステータスが変わったり、マイル番号が変わった会員が、今回の漏洩の範囲に入っているのではないかと思われます。
JAL、92万人分の情報流出 マイレージ会員対象
なおJALでは、「第三者による不正利用につながる情報は含まれておりません」としつつ、念のためパスワードを変更するよう進めている。
漏洩したのが氏名(アルファベット)・JMB会員番号・ワンワールドステータスのみなので、不正利用には繋がらないという判断ですね。
一方で、氏名(アルファベット)が別の企業の流出データからパスワードとセットで流出済み&パスワードをJALでも使い回している場合、そのパスワードとJMB会員番号でログインできちゃう恐れもあるので、念のためパスワードを変更してね、とか、そういうことですかね。
世界中の航空会社が影響
今回の漏洩の直接の原因となったSITA社側のリリースはこちら。
This was a highly sophisticated attack.
SITA statement about security incident
(それは高度に洗練された攻撃でした)
SITA社は航空系ITの巨大企業で、世界の9割の航空会社がSITA社のサービスをなんらか使っていると言われている。
今回、ハッキング被害をうけたサーバーは米国にあるSITA社のPassenger Service System (PSS)のデータで、このPSSは予約から搭乗までのトランザクションを処理している。
Close to a dozen air carriers have informed passengers that some of their data has been accessed by an intruder breaching SITA’s Passenger Service System (PSS), a service that handles transactions from ticket reservations to boarding.
SITA data breach affects millions of travelers from major airlines
一方でJALでは今回、SITA社との関係について以下のように説明している。
お客さまが提携航空会社へご搭乗される際のサービスのため、提携社に、アルファベット表記のお名前、JALマイレージバンクお得意様番号(JMB会員番号)、ワンワールドのエリートステイタス(エメラルド、サファイア、ルビー)に限定した情報を提供しております
今回、シンガポール航空もその被害について会員に通知しているが、JALよりも用途を詳しく説明している。
曰く、シンガポール航空はSITAのシステムを直接は使っていないが、提携航空会社との連携のためにSITA社に提供したデータが漏洩した。
なぜSITA社にデータを提供しているかというと、
会員のティアステータスの確認を可能にし、旅行中にメンバー航空会社の顧客に関連する特典を提供するために必要である
https://jp.techcrunch.com/2021/03/05/2021-03-04-sita-airline-passenger-breach/
JALについても、提携絡みでマイル番号・ステータスが漏洩したということでしょうかね。
そういう意味では、ワンワールド・スターアライアンスの提携関係の広さからして、世界中の航空会社が今回の影響を広く受けるモノと思われる。
すでに「Several airlines have confirmed being affected by the breach, including Singapore Airlines, Malaysia Airlines, Finland’s Finnair, Jeju Air in South Korean, and Air New Zealand」(一部)ということです。
特にスターアライアンスの26社はPSSを使っているとされており、今のところANAからはリリースがでていないですが、そのうち出てくるかもしれない。
もしくは、一部の提携系データだけが対象になったのかもしれないが。
※2021/03/06追記
ANAも漏洩がニュースになっていた
全日空も会員情報流出 マイレージクラブの100万人分
漏洩データの行方
今回ハッキングされたのはSITA社のシステムということだが、SITA社と航空会社の具体的な連携の仕方は不明。
実際に搭乗する会員のデータを都度提供しているのか、搭乗に関係なく全会員分のデータを定期的に提供しているのか?
後者であれば、漏洩したデータから「航空会社別のエリート・ステータス名簿」が出来上がってしまいますね。。。
前者でも搭乗ベースでの「アクティブなエリート・ステータス名簿」ができちゃいますけど。
いずれにせよ、今回はJALだけでも92万件の個人情報が漏洩したということなので、世界の航空会社でみると相当な数の影響がでそう。
最近は、また漏洩関係の大きなニュースが多くなってきてて、なんだか物騒ですな。。。
ほい。
そんな感じ。
