カンタス航空570万人情報流出から学ぶ、クラウド時代のサイバーセキュリティ対策

カンタス航空の大規模情報漏洩が示すクラウド時代の新たな脅威

2025年10月、オーストラリア最大手のカンタス航空で約570万人分の顧客情報が漏洩する深刻な事件が発生しました。この事件で注目すべきは、攻撃対象がカンタス航空そのものではなく、同社が利用していたクラウドサービス事業者だったという点です。

現役CSIRTとして数多くのインシデント対応を経験してきましたが、この事件はクラウド依存が進む現代において、私たちが直面する新たなリスクを如実に示しています。一つのクラウドサービスが攻撃を受けることで、そのサービスを利用する数千、数万の企業が連鎖的に被害を受ける可能性があるのです。

今回の攻撃では、Salesforceが標的となったと報じられており、カンタス航空以外にも多数の企業が被害を受けた可能性があります。流出したとされる企業リストには、富士フイルムやトヨタ自動車といった日本の大手企業の名前も挙がっています。

流出した情報の内容：

特に深刻なのは、これらの情報がダークウェブ上で公開され、二次被害のリスクが高まっていることです。実際のフォレンジック調査では、こうした情報が詐欺やなりすまし攻撃に悪用されるケースを数多く確認しています。

クラウドサービスには「共有責任モデル」という概念があります。これは、クラウド事業者とユーザー企業がセキュリティ責任を分担するという考え方ですが、多くの企業がこのモデルを正しく理解していないのが現実です。

私がこれまでに対応したインシデントの中でも、「クラウドだから安全」と過信していた中小企業が、実は十分なセキュリティ対策を講じていなかったケースが多数ありました。

典型的な問題例：

サイバー攻撃は日々巧妙化しています。単一の対策では不十分で、複数の防御策を組み合わせた多層防御が必要です。

まず基本となるのがアンチウイルスソフトの導入です。最新の脅威に対応できる製品を選び、常に最新状態を保つことが重要です。特に、ランサムウェアやマルウェアの検知能力に優れた製品を選択しましょう。

クラウドサービスへのアクセス時には、通信内容の暗号化が不可欠です。VPN を使用することで、重要なデータの盗聴や改ざんを防ぐことができます。

特に、公衆Wi-Fiを使用する機会が多い方は、VPNなしでクラウドサービスにアクセスするのは非常に危険です。

企業のWebサイトは攻撃者にとって格好の標的です。定期的なWebサイト脆弱性診断サービスにより、潜在的な脅威を事前に発見・対処することが可能になります。

過去に対応した類似事件のフォレンジック調査では、以下のような被害パターンが確認されています：

即座に発生する被害：

長期的な被害：

ある中小企業では、情報漏洩により顧客データベースが流出し、その後2年間にわたって売上が30%減少するという深刻な被害を受けました。このような事例を見ると、事前の対策がいかに重要かがわかります。

クラウドサービスを選定する際は、以下の点を必ず確認しましょう：

今回のカンタス航空の事件は、サイバーセキュリティの新たなフェーズの始まりを示しています。単一企業への攻撃ではなく、エコシステム全体を標的とした攻撃が増加する傾向にあります。

私たち個人も企業も、この変化に対応したセキュリティ戦略の見直しが急務です。特に、サプライチェーン攻撃への対策は、今後ますます重要になるでしょう。

カンタス航空の事件から学ぶべき最も重要な教訓は、「完璧なセキュリティは存在しない」ということです。しかし、適切な対策により被害を最小限に抑えることは可能です。

現役CSIRTとしての経験から断言できるのは、事後対応よりも事前対策の方が圧倒的にコストパフォーマンスが高いということです。今すぐにでも、多層防御の実装を検討することをお勧めします。