6月以降、世界の航空会社でデータ流出が連鎖しています。
フランスとオランダのAir France/KLMに加え、WestJet(カナダ)、Hawaiian Airlines(米)、Qantas(豪)が被害・影響を公表
いずれもマイレージ/会員情報や顧客対応データが標的になり、ShinyHunters(別名 UNC6040)とScattered Spiderの連携・重なりが指摘されています。
さらに、Google自身も同じ手口でSalesforce上のデータを盗まれていたことを認め、手口の核心は**システム脆弱性ではなく“人”を騙す電話型ソーシャルエンジニアリング(vishing)**だと明らかになりました。
bankinfosecurity.comcybersecuritydive.comIT ProGoogle Cloud
目次
いま何が起きているのか(タイムライン要約)
-
6月下旬〜7月:Hawaiian Airlinesがサイバー攻撃を確認。専門メディアはScattered Spiderの手口との共通点を指摘。直後にWestJetも被害を公表(後に旅券情報などの個人情報流出を認める)
cybersecuritydive.comSecurityWeekウエストジェットinsurancebusinessmag.com -
7月上旬:Qantasが最大約570万〜600万口座規模の影響を公表。第三者のコールセンター/CRM基盤が論点に
cybersecuritydive.comSANGFOR -
8月上旬:Air France / KLMが外部の顧客サービス・プラットフォーム侵害を通知(氏名・会員番号・ステータス等)。支払い情報・パスワード等は含まずと説明
BleepingComputerTechzine Global -
同時期:Googleが自社のSalesforceインスタンスからデータが盗まれたことを認め、攻撃者はShinyHunters(UNC6040)。入り口はvishing(電話)で社員を騙すことだったと分析
IT ProTechRadarGoogle Cloud
補足:フォーブスは「2か月で航空5社に被害」として俯瞰報道。背後にShinyHunters、そしてScattered Spiderとの重なりを指摘。フォーブス
なぜ「マイル/会員プログラム」やCRMが狙われるのか
交換性・換金性の高いマイレージ資産
マイルは**航空券以外(ホテル、免税、EC)**にも使いやすく、アカウント乗っ取りやポイント引き出しが起きると追跡が難しい。
Air France/KLMのFlying Blue情報(氏名・会員番号・ステータス等)流出報告は、不正交換の足がかりになる恐れがある。
BleepingComputer
入口はCRM(Salesforce等)の“人の運用”
攻撃者はセールスフォース自体の脆弱性を突くのではなく、
社員を電話で騙す(vishing)→権限を通す偽ツール(改変Data Loader等)承認に誘導→CRMから一括窃取という流れ
Googleの脅威分析(GTIG)はUNC6040の手口としてこれを詳述し、データリークサイト(DLS)での恐喝強化の兆しも示した。
Google Cloud
Salesforceの立場:「当社サービスの既知の脆弱性によるものではない」と説明。問題は標的型の音声フィッシング等、利用者側のオペレーションにあると強調。CyberScoop
主要事例の要点(被害内容と公開済み情報)
| 企業・航空会社 | 何が起きたか(公開情報) | 技術的ポイント |
|---|---|---|
| Air France / KLM | 外部の顧客サービス基盤が侵害。氏名・会員番号・会員ステータスなど流出。支払い/パス/旅程は含まず。 | CRM/外部CSの認証・権限運用が焦点。BleepingComputer |
| Qantas | 約570万〜600万口座に影響。第三者プラットフォーム経由の疑い。 | 供給網(コールセンター/CRM)リスクが顕在化。cybersecuritydive.comSANGFOR |
| WestJet | 6/13インシデント。旅券情報等の個人情報流出を後日認める。 | 初報ではサービス障害、後に個人情報項目を追加公表。ウエストジェットinsurancebusinessmag.com |
| Hawaiian Airlines | 6/26攻撃報告。Scattered Spiderの痕跡を指摘する分析。 | ランサム連動の懸念。業界横断キャンペーン。INCIBEcybersecuritydive.com |
| Google(比較事例) | 自社Salesforceから中小企業向け連絡先等が一時窃取。vishing→権限取得の典型。 | 航空以外でも同一TTPが横展開。IT ProTechRadar |
日本では報じられにくいニュース
-
ShinyHunters=UNC6040は**“暗号化ランサム”ではなく**「窃取+恐喝(DLSで公開示唆)」が主戦術。改変Data Loader/OAuth悪用など**“業務フローに滑り込む”**攻撃が強み。
Google CloudMalwarebytes -
ShinyHuntersとScattered Spiderの重なり:研究各社が人員・スキルの流動やThe Comなど地下コミュニティでの協働を指摘。航空業界への**“横展開”**が2025夏の特徴。
cybersecuritydive.comReliaQuest -
Salesforce側の公式見解:製品脆弱性ではなく運用・人の課題と位置づけ。多要素認証(MFA)だけでは防げない“電話”の突破に注意。
CyberScoop
企業・航空会社側が直ちに取るべき対策
-
vishing対策の標準手順:IT/ヘルプデスクの“呼び出し側”本人確認を逆方向(コールバック、社内ディレクトリ検証)で必須化。**「電話での認証強化・一時的権限付与」**の社内ルール整備。
Mimecast -
Salesforceの“周辺”防御:OAuthアプリ承認フローの厳格化、Data Loader等のツール白名簿化、最小権限と異常ダウンロード検知。
cloudprotection.withsecure.com -
マイル不正の早期検知:会員ID+端末/位置の異常相関、ポイント大量移動のアラート、通報の1クリック化。顧客向けに「電話での認証コード要求はしない」明示。
bankinfosecurity.com
まとめ
2025年夏の連鎖は、「マイルという資産×CRMという窓口×人を騙す音声詐欺」の三点セットで説明できます。
ShinyHunters/UNC6040とScattered SpiderはSalesforce周辺の運用の綻びを突き、航空に限らずGoogleや高級ブランドまで巻き込んでいます。
製品のゼロデイではなく人と業務のセキュリティ設計が問われる局面。日本の企業・航空業界も、**技術対策と“電話フローの再設計”**を急ぐべきです。
Google CloudCyberScoop
ひとりごと
ネットは、「お宝の宝庫」なんていわれていた、2000年あたり
とにかく、早い者勝ちで ネット事業を始めた者勝ち・・・
自分も金融系でネット取引をはじめた会社を仲間とはじめて一気に事業を伸ばしました。
忙しくて家に帰れず、家族崩壊寸前まで追い詰められた時期もありました。
それもリーマンショックで取引先金融界の多くは、廃業となり 事業補会
と言う経験がありました。
ネットのお宝は、資金力のある海外企業が乗り込んできて日本のネット産業は縮小続き
さらにAIの進化により、詐欺も増大し、詐欺サイトも増えています。
金融系では、怪しいサービスが堂々とネット広告となっていたり、カオス状態と言って良いでしょう。
主要出典
-
Air France/KLMの顧客サービス基盤での流出(外部プラットフォーム):BleepingComputer、BankInfoSecurity、Techzine。BleepingComputerbankinfosecurity.comTechzine Global
-
WestJet(旅券情報等を含む流出確認、6/13発表の後日更新):WestJetリリース、Insurance Business。ウエストジェットinsurancebusinessmag.com
-
Hawaiian Airlines(Scattered Spiderの痕跡報道):Cybersecurity Dive、SecurityWeek、INCIBE。cybersecuritydive.comSecurityWeekINCIBE
-
Qantas(約570万〜600万口座影響):Cybersecurity Dive、Sangforまとめ。cybersecuritydive.comSANGFOR
-
ShinyHunters(UNC6040)のTTP/Salesforceとvishing:Google Threat Intelligence公式ブログ、Malwarebytes、ReliaQuest、CyberScoop(Salesforceの声明)。Google CloudMalwarebytesReliaQuestCyberScoop
-
連鎖俯瞰(2か月で航空5社):Forbes。フォーブス