香港に本社を置く航空会社Cathay Pacificは、顧客情報の保護を怠ったとして50万ポンド(約6900万円)の罰金を科された。
英国の情報コミッショナー事務局(ICO)の発表によると、Cathay Pacificは2014年10月から2018年5月の間、同社のコンピューターシステムに適切なセキュリティ対策を講じておらず、結果として約940万人の顧客情報への不正アクセスが発生した。そのうち英国人は11万1578人だった。ICOは、Cathay Pacificがシステムのセキュリティ対策を怠ったために、乗客の個人情報(氏名、パスポート番号、IDカード番号、生年月日、郵便番号、Eメールアドレス、電話番号、渡航履歴など)への不正アクセスが発生したとして、同社に罰金を科した。
ICOの調査では「エラーのカタログ」とも言うべき大量の問題点が発見されたという。これは同社のサイバーセキュリティ対応がいかにデータ漏えいにつながったかを示すもので、問題のある慣行は少なくとも2014年10月から継続し、2018年5月まで発見されなかった。
ICOは、今回の不正アクセスが可能となった要因として、バックアップにパスワードがかけられておらず、暗号化もされていなかったこと、インターネットと接続したサーバーに既知の脆弱性があるにもかかわらず、パッチが適用されていなかったこと、サポート期限の切れたOSを使用していたこと、ウイルス対策が不十分であったことなどを挙げている。
また、ソフトウェアのパッチ管理戦略を策定していなかったこと、ユーザーはシステムに遠隔からアクセスできるにもかかわらず、多要素認証の仕組みを何ら導入していなかったことも批判した。
Cathay Pacificが、自社のシステムにおける不審な活動に気づいたのは、最初のセキュリティ侵害から3年半が経過した2018年3月であり、ハッカーがさらなる領域にアクセスしようと、データベースに総当たり攻撃をかけたあとのことだった。
その後、サイバーセキュリティ会社が調査を開始し、今回のインシデントがICOに報告された。
ICOの調査を統括するSteve Eckersley氏は、「ユーザーは個人情報を会社に提供するとき、自分の情報は当然、安全な場所に保管され、悪意ある攻撃や不正アクセスから守られると考えている。今回の件では、その前提が崩れた」と述べた。
「特に憂慮されるのは、Cathay Pacificのシステム全体で、基本的なセキュリティ不備が大量に発見されたことだ。こうした不備がハッカーの侵入を容易にした。われわれが発見した数々の深刻な不備は、期待される水準を大幅に下回るものだ」(同氏)
50万ポンドという罰金額は、英国の1998年データ保護法における罰金の最高額だ。
Cathay Pacificは声明で、「今回の情報漏えいに対し、改めて遺憾の意を表するとともに、心から謝罪する」と述べた。
同社はさらに「当社はこの3年間、ITインフラとセキュリティの増強に多額の資金を投じており、今後も投資を継続する」とした。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。