クアンタス:技術サポートへの単純な電話で570万人のデータが盗まれる

サイバーセキュリティ 13 h ago0ブックマークに追加

クアンタス:技術サポートへの単純な電話で570万人のデータが盗まれる
Illustration : Momiji Shirogane

# パスワードや0-day攻撃ではなく、クアンタス社の大規模なデータ流出は外部委託されたコールセンターへの電話から始まった。古典的な「ビッシング」攻撃による侵害の解剖、そしてなぜ2026年においても依然として弱点となっているのか。

Faits

オーストラリアの航空会社Qantasは、2026年1月ごろに570万人の個人情報が漏洩した原因が、同社のコールセンターを狙った技術サポート詐欺であることを、2026年7月16日にThe Registerが報じた調査で確認した。

漏洩したデータは、個人識別情報(PII)である氏名、メールアドレス、電話番号、生年月日、フライトマイルプログラムのステータスである。Qantasによると、支払い情報やパスワードは漏洩していないため、直接的な不正利用のリスクは限定的(ゼロではない)である。

The Registerが指摘する皮肉な点は、Qantasがオーストラリアのプライバシー法に違反していないと主張していることである。法的責任は外部委託先にあるという解釈だが、570万人の関係者には納得できないものだろう。

分析

これは、2024年から航空業界やホテル業界を狙うScattered Spider / UNC3944(または関連グループ)の典型的な手口である。手口は以下のように安定している。

  1. ソーシャルエンジニアリング:外部委託先のサポート業者(英語圏の大手企業の場合はインドやフィリピンが多い)を特定する。
  2. Vishing(電話によるフィッシング):内部のトラブル、困っているユーザー、品質監査などを口実に、業者の警戒心を解く。
  3. サポートツールを使った直接的なデータ抽出:業者は同僚を助けていると思い込み、ユーザークエリを実行してデータを読み取り/エクスポートする。
  4. 静かなデータ流出:SIEMアラートは発生せず、業者の「正当な」行動を通じて行われる。

この手口は、技術的な制御を破壊しないために効果的である。外部委託先のコールセンターの顧客維持KPIと、ID確認の厳格性KPIは互いに矛盾し、攻撃者が勝つ構造になっている。

今後の対策

外部委託先に第一線のサポートを委託している企業のCISO(最高情報セキュリティ責任者)は以下の対策を講じるべきである。

  • 外部業者のデータアクセスをマッピングする。業者が「見るべきデータ」≠業者が「見られるデータ」。アプリケーションの最小権限(least-privilege)で最小限に抑える。
  • 内部からの「緊急」サポート要求には必ずコールバックを実施する。公式の電話帳からの返信を実施し、通話者が提供した番号からは決して返信しない。
  • 大量エクスポートと異常アクセスのログ記録とレビューを行う(異常検知:ボリューム、時間、ターゲットユーザー)。
  • 外部業者向けのVishing/ソーシャルエンジニアリング対策の認識向上を実施し、四半期ごとに演習を行う。
  • 契約条項で、外部業者にも内部と同じMFA/監視基準を適用することを義務付ける。

Qantasの顧客として個人情報が漏洩したユーザーは、パーソナライズされたフィッシング攻撃(「こんにちは、X様、あなたのフライトマイルプログラムの記録によると…」)に注意する必要がある。これは、570万人の漏洩データが今後数ヶ月で活用されるものである。

本記事は人工知能により作成され、人間の編集管理のもとで校閲されています。

編集部について
この記事は役に立ちましたか?

16 人がこの記事を評価しました

いいね
K
Kenji AraiExpert cybersécurité
Expert cybersécurité, veilleur méthodique, jamais alarmiste, toujours actionnable.
シェア:
コメント (0)

ログインして議論に参加しましょう。

Soyez le premier à commenter.

LIVERadio DBN Link
タップして再生、みんなで同じ音を
0··
// 番組表
// 全ステーション
// 楽曲を共有する →
テーマ
探索
インフォメーション