アメリカン航空でデータ侵害 (続報)：1,700人以上の顧客と従業員に影響

American Airlines learned it was breached from phishing targets

2022/09/24 BleepingComputer — American Airlines のサイバーセキュリティ対応チームは、ハッキングされた同社従業員の Microsoft 365 アカウントが悪用され、そこから行われたフィッシング・キャンペーンのターゲットを入り口にして、同社のデータが侵害されたとしている。American Airlines はニューハンプシャー州検事総長室への提出書類で、「こうしたフィッシングの報告を受け後に、同社の CIRT が、社内の Microsoft 365 環境における不正な活動を発見した」と述べている。

また、この調査の結果として、攻撃者はフィッシング攻撃で漏洩した複数の従業員のアカウントにアクセスし、それらを使って、その時点では漏洩の被害に遭っていなかったターゲットに対して、さらにフィッシング・メールを送信していたことが判明した。

同社は、チームメンバーの侵害されたアカウントから、クラウド・サービス Sharepoint に保存されている、従業員のファイルへのアクセスも可能だったことも付け加えている。

このセキュリティ・インシデントの法的通知には、「調査を通じて、American Airlines は、不正アクセス者がメールボックスにアクセスするために、IMAP プロトコルを使用していることを突き止めた。このプロトコルの使用により、不正アクセス者はメールボックスの内容を、別のデバイスに同期させることができた可能性がある」と詳述されている。

さらに、「American Airlines は、メールボックスの内容の同期が、アクセスの目的であったと考える根拠はない。この事実から、不正アクセス者は、メールボックスにアクセスし、フィッシング・メールを送信する手段として、IMAP プロトコルを使用していたようだ」と述べられている。

同航空会社は、影響を受けた個人のリスクは低いと考えているが、影響を受けた個人に対して、9月16日からデータ侵害の通知を行っている。

American Airlines が通知文書で明らかにしているように、攻撃で流出した個人情報には、従業員や顧客の氏名／生年月日／住所／電話番号／電子メールアドレス／運転免許証番号／パスポート番号／特定の医療情報などが含まれていた可能性がある。

1,700人以上の顧客と従業員に影響

American Airlines の Sr. Manager for Corporate Communications である Andrea Koos は、このインシデントの詳細を尋ねられた際に、このデータ漏えいの影響を受けた人数は「非常に少ない」とし、正確な数の公表を拒否している。

しかし、同社が後にメイン州司法長官事務所に提出した書類で明らかにしたように、このデータ侵害は 1,708人の American Airlines の顧客／従業員に影響していた。

同社は、影響を受けた個人に対して、ID 修復サービス／Triple Bureau Monitoring／最高 $1 million の ID 盗難保険が付帯する、Experian IdentityWorks の２年間の無料メンバーシップを提供し、ID 盗難の発見と解決に協力するとのことだ。

American Airlines は、「顧客の個人情報が悪用されたという証拠は無いが、Experian のクレジット・モニタリングへの登録を推奨する。さらに、口座明細を定期的な確認／無料の信用報告書の監視など、警戒を怠らないようにしてほしい」と述べている。

同航空会社は、2021年3月にもデータ侵害の被害に見舞われている。このインシデントについては、世界的な航空情報技術大手の SITA が、ハッカーがサーバーを侵害し、American Airlines を含む、世界中の複数の航空会社が使用する旅客サービス・システム (PSS) へのアクセスを取得したと発表している。

American Airlines は、航空機の保有台数で世界最大の航空会社 (本線では 1,300台以上) であり、従業員数は 12万人以上で、50カ国以上／約 350都市に向けて毎日約 6,700便を運航している。

9月19日の「アメリカン航空でデータ侵害：フィッシングにより顧客／従業員の個人情報が漏洩」に対する続報です。前回の記事では、被害の規模が不明でしたが、メイン州司法長官事務所に提出された書類により、1,708人の顧客／従業員に影響するデータ侵害だったと判明しました。上記のリンクをクリックすれば分かるように、米国ではこの種の報告内容は、公開情報として取り扱われています。それって、とても重要なことだと思うのですが。。。