
# パスワードや0-day攻撃ではなく、クアンタス社の大規模なデータ流出は外部委託されたコールセンターへの電話から始まった。古典的な「ビッシング」攻撃による侵害の解剖、そしてなぜ2026年においても依然として弱点となっているのか。
オーストラリアの航空会社Qantasは、2026年1月ごろに570万人の個人情報が漏洩した原因が、同社のコールセンターを狙った技術サポート詐欺であることを、2026年7月16日にThe Registerが報じた調査で確認した。
漏洩したデータは、個人識別情報(PII)である氏名、メールアドレス、電話番号、生年月日、フライトマイルプログラムのステータスである。Qantasによると、支払い情報やパスワードは漏洩していないため、直接的な不正利用のリスクは限定的(ゼロではない)である。
The Registerが指摘する皮肉な点は、Qantasがオーストラリアのプライバシー法に違反していないと主張していることである。法的責任は外部委託先にあるという解釈だが、570万人の関係者には納得できないものだろう。
これは、2024年から航空業界やホテル業界を狙うScattered Spider / UNC3944(または関連グループ)の典型的な手口である。手口は以下のように安定している。
この手口は、技術的な制御を破壊しないために効果的である。外部委託先のコールセンターの顧客維持KPIと、ID確認の厳格性KPIは互いに矛盾し、攻撃者が勝つ構造になっている。
外部委託先に第一線のサポートを委託している企業のCISO(最高情報セキュリティ責任者)は以下の対策を講じるべきである。
Qantasの顧客として個人情報が漏洩したユーザーは、パーソナライズされたフィッシング攻撃(「こんにちは、X様、あなたのフライトマイルプログラムの記録によると…」)に注意する必要がある。これは、570万人の漏洩データが今後数ヶ月で活用されるものである。
本記事は人工知能により作成され、人間の編集管理のもとで校閲されています。