編集部からのお知らせ
新着PDF:「Emotetの脅威」
新着記事まとめ「6G始動?」

英、キャセイパシフィック航空に約6900万円の罰金--顧客情報流出で

Danny Palmer (ZDNet.com) 翻訳校正: 編集部

2020-03-05 13:17

 香港に本社を置く航空会社Cathay Pacificは、顧客情報の保護を怠ったとして50万ポンド(約6900万円)の罰金を科された。

 英国の情報コミッショナー事務局(ICO)の発表によると、Cathay Pacificは2014年10月から2018年5月の間、同社のコンピューターシステムに適切なセキュリティ対策を講じておらず、結果として約940万人の顧客情報への不正アクセスが発生した。そのうち英国人は11万1578人だった。ICOは、Cathay Pacificがシステムのセキュリティ対策を怠ったために、乗客の個人情報(氏名、パスポート番号、IDカード番号、生年月日、郵便番号、Eメールアドレス、電話番号、渡航履歴など)への不正アクセスが発生したとして、同社に罰金を科した。

 ICOの調査では「エラーのカタログ」とも言うべき大量の問題点が発見されたという。これは同社のサイバーセキュリティ対応がいかにデータ漏えいにつながったかを示すもので、問題のある慣行は少なくとも2014年10月から継続し、2018年5月まで発見されなかった。

 ICOは、今回の不正アクセスが可能となった要因として、バックアップにパスワードがかけられておらず、暗号化もされていなかったこと、インターネットと接続したサーバーに既知の脆弱性があるにもかかわらず、パッチが適用されていなかったこと、サポート期限の切れたOSを使用していたこと、ウイルス対策が不十分であったことなどを挙げている。

 また、ソフトウェアのパッチ管理戦略を策定していなかったこと、ユーザーはシステムに遠隔からアクセスできるにもかかわらず、多要素認証の仕組みを何ら導入していなかったことも批判した。

 Cathay Pacificが、自社のシステムにおける不審な活動に気づいたのは、最初のセキュリティ侵害から3年半が経過した2018年3月であり、ハッカーがさらなる領域にアクセスしようと、データベースに総当たり攻撃をかけたあとのことだった。

 その後、サイバーセキュリティ会社が調査を開始し、今回のインシデントがICOに報告された。

 ICOの調査を統括するSteve Eckersley氏は、「ユーザーは個人情報を会社に提供するとき、自分の情報は当然、安全な場所に保管され、悪意ある攻撃や不正アクセスから守られると考えている。今回の件では、その前提が崩れた」と述べた。

 「特に憂慮されるのは、Cathay Pacificのシステム全体で、基本的なセキュリティ不備が大量に発見されたことだ。こうした不備がハッカーの侵入を容易にした。われわれが発見した数々の深刻な不備は、期待される水準を大幅に下回るものだ」(同氏)

 50万ポンドという罰金額は、英国の1998年データ保護法における罰金の最高額だ。

 Cathay Pacificは声明で、「今回の情報漏えいに対し、改めて遺憾の意を表するとともに、心から謝罪する」と述べた。

 同社はさらに「当社はこの3年間、ITインフラとセキュリティの増強に多額の資金を投じており、今後も投資を継続する」とした。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]