独占記事8月下旬にハッキング被害に遭う数週間前、ブリティッシュ・エアウェイズの親会社IAGは、脅威に対抗するために「グループ全体にわたる戦略的かつ積極的なアプローチ」が必要だと認め、サイバーセキュリティをIBMにアウトソーシングする計画を立てていた。
レジスター紙は、流出した社内メモから、BAが従業員とこの移管について協議していたことを突き止めました。メモによると、BAはセキュリティ運用サービスを除くサイバーセキュリティ機能の大部分をIBMに移管する予定で、セキュリティ運用サービスは引き続き自社機能の一部として維持される予定です。
BAの経営委員会は、8月初旬に従業員および組合との協議に先立ち、このアウトソーシング計画を承認した。「この提案がサイバーセキュリティ部門で働く同僚にとって不確実性と不安の期間を意味することを認識し、理解しています」と、グループITサービス有効性マネージャーのジョン・ハミルトン氏はメモに記した。
航空業界での経験を持つ情報セキュリティ専門家は、エル・レグ紙に対し、「うまく機能しているものをアウトソーシングするべきではない」と語った。航空会社がアウトソーシングを提案したのは、「質の高いスタッフを十分に確保できないか、取締役会がコスト削減を望んでいたため」かもしれないと、同紙は伝えた。
BAは現在、コスト削減に取り組んでいるという悪い評判があると彼は付け加えた。
いずれにせよ、ブリティッシュ・エアウェイズは8月初め、自社のコンピュータシステムのセキュリティを確保するには外部からの支援が必要だと感じていた。
セキュリティ侵害
5週間後の9月6日木曜日、BAは昨日報じた通り、ハッカーによるウェブサイトとモバイルアプリのサーバーからの顧客情報の盗難について調査を開始する義務を負った。
ブリティッシュ・エアウェイズ(BA)を通じて航空券やその他のサービスを予約した旅行者の個人情報と金融情報は、8月21日から9月5日までの15日間、サイバー犯罪者の手に渡っていた可能性がある。この侵入により、約38万枚のクレジットカードとデビットカードが不正アクセスされた可能性があり、これは英国史上最大のクレジットカードセキュリティ違反の一つとなった。BAは金曜日、不正アクセスされた情報にはカード番号とCVVコードが含まれていると付け加えた。
このハッキングは警察と英国のデータ保護規制当局の両方に報告されているが、旅行やパスポートの詳細は漏洩していないとみられる。
航空業界の経験豊かな情報セキュリティ情報源も、サイバー侵入がどのように展開したかについて、情報に基づいた推測をいくつか提供した。
「これはおそらく、アップデートが公開される前にテストされなかったか、コスト削減の結果、サイトが本来あるべき頻度でテストされなかったか、サポートの質が低かった(つまり、サーバーにパッチを当てなかった)かのいずれかに帰着するだろう」と彼は語った。
「盗まれたデータが特定された時間帯を考慮すると、サードパーティのウェブサーバーコンポーネントが侵害されたのではないかと疑っています。特に開発者やウェブ管理者がセキュリティプロセスを遵守しないため、セキュリティチームが組織内での影響力に限界がある場合、ユーザーのウェブエクスペリエンスの変化に気付くのは困難でしょう」と彼は付け加えた。
当社の専門家は次のように結論付けています。「セキュリティをアウトソーシングするという噂を考慮すると、チームはおそらく最大限の効果を発揮できていない(あるいは他の問題で手一杯になっている)だろう。」
今週何が起こりましたか?
少なくとも公的には、犯人らがBAのネットワークにどうやって侵入したかは不明だ。BAのアレックス・クルーズ最高経営責任者(CEO)は金曜朝、BBCラジオ4の看板番組「トゥデイ」に出演し、同航空会社のパートナー各社が水曜夜に侵入について警告してきたと語った。
「当社のウェブサイトは、非常に高度で悪質な犯罪者による攻撃を受けました」とクルーズ氏は述べた。「当社は、世界中のウェブサイトで何が起こっているかを継続的に監視しているパートナーネットワークを有しています。そのパートナーの1社から信号を受信しました。」
説明を求められたクルーズ氏は、BAが問題を警告したのは外部のセキュリティ研究者や銀行、金融サービスプロバイダーではなく、BA自身のシステムだと述べた。クルーズ氏は、犯罪者がどのようにして侵入したかについてはいくつかの質問を回避した。
インタビューはここで聞くことができます(1:50 から始まります)。
「世界で最も人気のある航空会社」がハッカーのお気に入りに:ブリティッシュ・エアウェイズのサイトとアプリが2週間ハッキングされる
続きを読む
BAは、セキュリティ侵害に起因する顧客への金銭的損失の補償を申し出ている。いずれにせよ、大部分はクレジットカードの不正利用補償でカバーされる可能性が高い。同社にとってより大きな問題は、今年5月にEUの一般データ保護規則(GDPR)が施行された際に導入された、より厳格な規制の下で、ICOのデータプライバシー監視機関からどのような金銭的制裁を受ける可能性があるかということだ。
El RegはBAに対し、計画されているアウトソーシングの根拠と、それに伴う業務量についてコメントを求めました。また、BAの社内メモには、アウトソーシングの提案は「サイバーセキュリティ部門で働く同僚にとって不確実性と不安の期間を意味する」と警告する箇所があることも指摘しました。
まだ回答は得られていませんが、新たな情報が入り次第、この記事を更新します。El Reg社はIBM社と業界の専門家に連絡を取りましたが、今のところ回答は得られていません。セキュリティ侵害と提案されているアウトソーシング計画についてコメントを求めました。
英国の情報プライバシー監視機関ICOの広報担当者は、「ブリティッシュ・エアウェイズから事件について報告を受けており、現在調査を行っている」と語った。®
