テクニカルサポート詐欺がQantasの大規模データ漏洩を引き起こし、570万人の顧客に影響

オーストラリアのプライバシー監視機関は、ビッシング攻撃によりコンタクトセンターのエージェントが570万人の顧客の個人情報を漏洩させた件について、Qantasはプライバシー法に違反していないとの判断を下した。この結論は、十分な訓練を受けたスタッフに対してもソーシャルエンジニアリングがどれほど効果的であるかを浮き彫りにしている。

2025年に発生したこの情報漏洩は、「Qantas ITヘルプデスク」を名乗る電話の発信者が、コンタクトセンターの従業員を欺いて、航空会社の顧客関係管理システムを外部のデータ抽出ツールに接続させたことにより発生した。攻撃者はその後、数百万の顧客の個人識別情報を吸い出した。

オーストラリアプライバシー責任者のカーリー・カインド氏は、Qantasはこのようなインシデントを防ぐために合理的な措置を講じており、したがってオーストラリアのプライバシー原則に違反していないと結論付けた。航空会社はコンタクトセンター事業者を監査し、攻撃の数ヶ月前に従業員のセキュリティ意識をテストし、定期的なプライバシー研修を義務付け、役割ベースのアクセス制御を実施していた。

「Qantasが今回発生した方法での情報漏洩を合理的に予見し、防止することはできなかったと思われる」と責任者の報告書は述べている。「脅威アクターがアクセスを得た方法はビッシング攻撃によるものであり、Qantasの現在の役割ベースのアクセス制御を強化しても防げなかったであろう。」

責任者は正式な調査の開始を辞退したが、この問題は再検討される可能性がある。航空会社に対する集団訴訟はすでに進行中である。

報告書は攻撃者の名前を明らかにしていないが、業界の憶測はScattered Spider犯罪グループを示唆しており、同グループはQantas事件の数週間前に航空業界に焦点を移していた。

この判断は、規制当局が成熟したセキュリティ慣行を持つ組織に対する高度なソーシャルエンジニアリング攻撃をどのように見なすかについて、注目すべき先例を確立するものであり、十分に防御されたシステムであっても、最も古い脆弱性である人間の信頼に対して脆弱であることを強調している。

雅子 訳

Scroll to Top