ISSコラム
column by iss
あなたの組織は大丈夫?|カンタス航空に対するサイバー攻撃からの教訓
2025.08.06
はじめに
世界中でさまざまなサイバーセキュリティの脅威が報告されており、特にグローバルなブランドを狙った大規模な攻撃が目立っています。これは単なる技術的な問題ではなく、私たちの日常生活や企業の経営に直接影響を与える非常に身近なリスクです。
今回のコラムでは、オーストラリアの大手航空会社であるカンタス航空で実際に起きたサイバーインシデントを例に、なぜこのような事件が起きたのか、そして私たちや企業がどうすれば身を守れるのかを見ていきましょう。
事件の概要
カンタス航空は、2025年6月30日にサイバー攻撃を検知したと発表しました。この事件のポイントは、攻撃者がカンタス航空のメインシステムを直接狙ったのではなく、同社のコンタクトセンターが利用している外部の「顧客サービスプラットフォーム」(サードパーティシステム)に不正にアクセスしたことです。カンタス航空の主要なシステム自体は安全だったとされています。
この攻撃は、「Scattered Spider(スキャッタード・スパイダー)」という犯罪者グループに関連していると報じられています。彼らが使った手口は非常に巧妙で、AI(人工知能)を活用した「ビッシング(音声フィッシング)」攻撃でした。具体的には、AIを使って本物の声に似た音声を偽造(AI音声クローニング)し、それを悪用してヘルプデスクの通常の認証手順を迂回し、システムへのアクセス権を入手したとされています。これは、人間が声の主を信頼してしまう心理的な弱点を利用した非常に高度な詐欺の手口です。
この不正アクセスにより、約570万件もの顧客の個人情報が流出したといわれています。
組織への影響
今回のカンタス航空の事件は、大企業であっても外部のシステム(サードパーティ)が持つリスクの大きさを浮き彫りにしました。企業は多くの外部サービスやソフトウェアを利用していますが、それらのセキュリティが不十分だと自社のセキュリティがどんなに強固でも、そこが「裏口」となって侵入されてしまう可能性があります。まさに、カンタス航空が直面した状況です。
また、攻撃者がAIを活用した最先端のソーシャルエンジニアリングを用いたことは、サイバー犯罪者が常に新しい技術を取り入れ、従来の防衛策をかいくぐろうとしている現状を示しています。これは、企業が常に最新の脅威に対応する防御戦略を持つことの重要性を物語っています。
顧客・取引先への影響
このインシデントで不正にアクセスされた顧客データには、以下の情報が含まれていました:
・氏名、メールアドレス、電話番号
・生年月日、住居および勤務先の住所
・カンタス航空フリークエントフライヤー番号(会員のランク、ステータス、ポイント残高を含む場合あり)
・性別、食事の好み
しかし、非常に重要な点として、カンタス航空は、クレジットカード情報、個人の金融情報、パスポートの詳細、フリークエントフライヤーアカウントのパスワードやログイン情報などは、影響を受けたシステムには保存されていなかったためアクセスされていないことを確認しています。つまり、直接的な金銭的被害に繋がるリスクは低いと考えられます。
影響を受けた顧客に対しては専用のサポートが設けられ、メールでの通知も行われました。しかし、流出した個人情報は、今後、別の詐欺やといった二次被害に遭う可能性があるため、顧客は引き続き警戒する必要があります。
暫定的にとられた対応策
カンタス航空は、このインシデントに対して迅速な対応を取りました:
・不正アクセスを受けたシステムの接続をすぐに遮断し(封じ込め)、セキュリティ対策を強化
・フリークエントフライヤーアカウントの変更時には、追加で本人確認を求める措置を導入
・この事件が犯罪行為であることから、オーストラリアサイバーセキュリティセンター(ACSC)やオーストラリア連邦警察(AFP)を含む関係当局にすぐに報告
特に注目すべきは、2025年7月17日にカンタス航空がNSW最高裁判所で「暫定的な差止命令」を獲得したことです。これは、盗まれたデータが第三者によって公開されたり、悪用されたりすることを法的に防ぐための重要な措置で、データ侵害への対応における積極的な法的アプローチの重要性を示しています。
今後の対応策(長期的な視点)
今回の事件から、企業が今後どのような対策を講じるべきか、いくつかの重要な方向性が見えてきます。
・強固なサードパーティリスク管理: 外部に委託しているベンダーやサプライヤー(供給元)のシステムについても、厳格に審査し、常に監視することが不可欠です。IPAが公開している「情報セキュリティ10大脅威2025[組織]の第2位にも位置づけられていますが、自分の会社のシステムだけでなく、サプライチェーンや委託先など取引先のシステムにも注意を払う必要があります。
・AI対応型防御への投資: 攻撃にAIが使われる時代になりました。これに対抗するために、企業もAIを活用したセキュリティツールに投資したり、AIを使った高度な攻撃を検知・対応するための戦略を開発したりする必要があります。
・継続的なセキュリティ意識向上トレーニング: 従業員は、最新の詐欺の手口を知っておく必要があります。特に、AIが生成する偽の声(ディープフェイク)や、新しいフィッシング手法(騙すメールやメッセージなど)について、継続的に教育を受けることが重要です。
まとめ(教訓)
カンタス航空のサイバーインシデントは、現代のサイバー脅威がいかに変化に富み、高度化しているかを私たちに教えてくれました。企業のサイバーセキュリティは、単にIT部門だけの問題ではありません。経営者を含め、すべての従業員がその重要性を理解し、対策に取り組む必要があります。
この事件から得られる最も重要な教訓は、企業にとって、事件が起きてから対応するだけでなく、事前に予防し、常に変化する脅威に適応できるサイバーセキュリティ体制を築くことが、「あれば良い」ものではなく「必須」であるということです。
企業は、サプライチェーンや委託先など外部パートナーのリスクを厳しく管理し、新たな技術を悪用した攻撃から身を守るための対策を強化し、従業員の意識を継続的に高めることで、自分たちの大切なデータを守っていく必要があります。
出典(参考情報)
1. QANTAS CYBER INCIDENT – Qantas Newsroom, 7月 21, 2025にアクセス,
https://www.qantasnewsroom.com.au/media-releases/qantas-cyber-incident/
2.Qantas cyber incident, 7月 21, 2025にアクセス,
2.UPDATE ON QANTAS CYBER INCIDENT: WEDNESDAY 9 JULY 2025, 7月 21, 2025にアクセス,
4.Information for customers on cyber incident – Qantas, 7月 21, 2025にアクセス,
https://www.qantas.com/au/en/support/information-for-customers-on-cyber-incident.html
5.Cybersecurity Weekly Roundup (July 5 – 12, 2025) – Boston Institute Of Analytics, 7月 21, 2025にアクセス,
https://bostoninstituteofanalytics.org/blog/cybersecurity-weekly-roundup-july-5-12-2025/
6.15th July 2025 Cyber Update: Global Breaches, Critical Flaws, 7月 21, 2025にアクセス,
https://www.cybernewscentre.com/15-july-2025-cyber-update-global-breaches-critical-flaws/
7.Cybersecurity Roundup: Partnerships, Funding, and Emerging Threats – July 18, 2025 / Featuring Coro Networks, Trump Administration, Bloomberg AI Insights, HelpNetSecurity, Splunk – HIPTHER, 7月 21, 2025にアクセス,
8.情報セキュリティ10大脅威 2025,
https://www.ipa.go.jp/security/10threats/10threats2025.html
本コラムについて
インターネットセキュアサービス㈱(以下、ISS)が提供する脅威インテリジェンス情報や脆弱性情報等は、全ての情報を対象にせず、ISSが独自の基準で判断しています。
なお、記載内容は全てを保証するものではありません。
ISSは、皆様のセキュリティ対策のお役に立つ情報を積極的に発信してまいります。
