香港の航空会社キャセイパシフィック航空は、940万人の乗客の個人情報がハッカーに盗まれたことを遅ればせながら認めたばかりだが、今度は、誰にも告げるまでに丸3か月も攻撃を受けていたと認めた。
キャセイパシフィック航空のハッキング:航空乗客最大940万人の個人情報が流出
続きを読む
キャセイ航空は、ハッキング事件に関する最初の公式声明で、氏名、国籍、生年月日、住所、一部の人々のパスポート番号、電子メールアドレスなどが同社の安全なサーバーから未だ身元不明の犯人の手に渡ったことについて、2018年3月から「不審な活動」を検知していたと述べた。
キャセイ航空が香港立法会(香港の立法会。広義では中国の半自治領における国会に相当する)に提出した書類(PDF、4ページ)によると、水曜日の公聴会に先立ち、同社は3月の「疑わしい活動」が同社のサーバーに対する本格的な攻撃であったことを認識していたと述べている。
「調査のこの段階で、キャセイ航空はさらなる攻撃を受けました。攻撃は3月、4月、5月に最も激しく、その後も継続しました。これらの継続的な攻撃により、社内外のITセキュリティリソースは、引き続き封じ込めと予防に注力する必要がありました」と、キャセイ航空は地元議員への書面提出書類で述べています。
キャセイ航空は、被害者のデータが航空会社のサーバーから違法にコピーされたことを告げるまでに6ヶ月も待ったとして、各方面から非難を浴びている。盗まれたデータの種類は乗客によって異なり、アクセスされたクレジットカード番号は比較的少数(430件)で、そのうち427件は有効期限切れだったと、同社は立法院への提出書類で主張している。
「2つの大きな問題は、どの乗客データがアクセスまたは流出したか、そして影響を受けたデータベースは部分的にしかアクセスされていなかったため、問題のデータがキャセイパシフィックのITシステムの外部で、攻撃者が読み取り可能な形式で復元できるかどうかでした。これらの問題に関する結論は困難で時間がかかり、8月中旬にようやく出ました」と、アジア太平洋地域で著名な航空会社の一つであるキャセイパシフィックは付け加えた。
キャセイ航空は、ハッキングについて誰にも知らせなかった理由について、「過度に広範で具体的でない通知ではなく、影響を受けた乗客一人ひとりに、正確で意味のある単一の通知を行えるようにしたかった」と述べた。
キャセイ航空にコメントを求めた。
地元警察と議員に通報済み。航空会社は、個人情報が流出した可能性があると考えている人のために専用ウェブサイトを開設しました。®
