IT系会社員ブロガー

某IT企業に勤める40代会社員の雑記帳

ANA 100万人の会員情報流出について

2021年3月5日に「JAL、会員情報92万件流出」のニュース発表され、翌日3月6日には、「全日空ANA)も会員情報100万人流出」と同じくニュースになっていた件について少しだけ

f:id:breakthrough1020:20210309123010j:plain

ANAから正式には本日(21年3月9日)メールでの案内がありました。(以下)

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【重要なお知らせ】
SITA社システムへの不正アクセスによるANAマイレージクラブ会員情報の漏洩について
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

平素より、ANAマイレージクラブをご愛顧いただきありがとうございます。

この度、国際航空情報通信機構(以下「SITA社」※)から、
ANAマイレージクラブのプレミアムメンバーのアルファベット表記のお名前、
会員番号、および会員様のスター アライアンスのステイタス(スター アライアンス・ゴールド、スター アライアンス・シルバー※)の
3点の情報が漏洩したとの報告を受けました。

このメールは情報の漏洩が確認されたお客様に発信をさせていただいております。
ご心配をおかけしておりますことを深くお詫び申し上げます。

漏洩した情報に、会員パスワード、クレジットカード情報、旅程、
予約・発券状況、パスポート番号、メールアドレス等の個人情報は一切含まれておりません。


※スター アライアンスのステイタスに該当するANAマイレージクラブのプレミアムメンバーは、以下の通りです。
スター アライアンス・ゴールド ⇒ 「ダイヤモンドサービス」「プラチナサービス」メンバー、スーパーフライヤーズ会員
スター アライアンス・シルバー ⇒ 「ブロンズサービス」メンバー

スター アライアンスでは、各社のマイレージクラブのプレミアムメンバー様が、
他の加盟航空会社へご搭乗される際にもプレミアムサービスを受けていただけるようにするため、
加盟する会社間にて上記3点の情報に限り、相互に共有しております。
今回これらの情報を保管しているSITA社のシステムに対する不正アクセスにより、3点のお客様情報が漏洩いたしました。

SITA社ではすでに対策を講じており、今後の情報漏洩はないことを確認しております。
本件の影響による会員様への被害は現在のところ確認されておりません。


念のためパスワードの変更をご希望される場合は、以下をご参照ください。

・・・(以下略)

ちなみに3月6日に発信されたものは以下になります。

ANA SKY WEB | ANAマイレージクラブ

 

情報漏えいしたのは、ANAではなくスイスのSITA社

つまり、ニュース記事では、あたかも JALANA から情報漏えいしたようなタイトルになっていますが、実際には、スイスのジュネーブに本社がある SITA(国際航空情報通信機構)のシステムがサイバー攻撃を受け、情報が漏えいしています。

 

SITA | SITA statement about security incident

 

SITA は、世界中の航空会社、旅行代理店、そのほかの関連業界に、ネットワークや業務用アプリケーションなどの各種サービスを提供している多国籍の民間企業です。

今回は、SITAのアメリカの「SITA Passenger Service System(SITAPSS:航空会社向け旅客処理システム)」にて、2月24日にセキュリティインシデント(いわゆる情報漏えい事故)が発生したことによるものです。

 

漏れたのは、名前、会員番号、スターアライアンス ステイタスの3つ

情報漏えいしたのは、ANAのメールによると「ANAマイレージクラブのプレミアムメンバーのアルファベット表記のお名前」、「会員番号」、「スター アライアンスのステイタス」の3点だけとのこと。

スター アライアンスのステイタスとは、以下のことです。

  • 「ダイヤモンドサービス」「プラチナサービス」メンバー、スーパーフライヤーズ会員・・・スター アライアンス・ゴールド
  • 「ブロンズサービス」メンバー・・・スター アライアンス・シルバー

 

ANAからは「会員パスワード、クレジットカード情報、旅程、予約・発券状況、パスポート番号、メールアドレス等の個人情報は一切含まれておりません。」とのことですが、これがスターアライアンスパートナーとして、各社へ情報共有がされていなかったのか?そもそもSITA社が保持していなかったのか?などの記載はないため、真偽については不明です。

 

通常であれば、ANAの各種パスワードの連携はしていないはずなのですが、念の為のパスワード変更の方法もメールには記載がありました(??)

 

2月24日のセキュリティインシデントで、重要な情報が漏れていないからなのか、会員への案内が、ほぼ2週間後の3月9日というのはいかがなものかと思いますが、まぁこんなもんなのでしょうか。

それよりも、いい加減 ID(会員番号)、パスワードのログインから多要素認証(MFA)を実装して欲しいと思います。SMS(携帯電話に認証コードを送る)とか。

 

以上です。