ロイヤリティシステムに潜むリスク：カンタス航空のデータ漏洩被害事例が示す教訓

カンタス航空のサイバーセキュリティインシデント概要

2025年7月9日、カンタス航空（Qantas Airways Limited、以下カンタス航空）は、同社のフリークエント・フライヤー・プログラム（FFP：Frequent Flyer Program）^※に関連する約570万件の顧客データがサイバー攻撃により流出したことを確認しました。この攻撃は、当初7月2日に「断続的な障害」として報告されていましたが、その後、航空会社が使用していたサードパーティ製ソフトウェアの脆弱性を悪用した悪意ある攻撃者によるものと特定されました。
※Frequent Flyer Program：頻繁に飛行機を利用する利用者向けに、航空会社が提供するサービスプログラム。ポイントやマイルが獲得できるものが多い。

（参考情報）
・「QANTAS CYBER INCIDENT」（2025年7月2日。Qantas Airways Limited）
・「UPDATE ON QANTAS CYBER INCIDENT: WEDNESDAY 9 JULY 2025」（2025年7月9日。Qantas Airways Limited）
・「Information for customers on cyber incident（日本語版）」（2025年10月12日。Qantas Airways Limited）

流出した情報の範囲は多岐にわたります。カンタス航空によると、7月9日の発表時点の漏洩範囲は以下の通りです。

項目	規模	詳細
顧客の記録^※ （customer records） ※一意のメールアドレスに基づいて集計されており、実際の人数は重複している可能性がある。	400万件	（うち、以下の情報を含む）・120万件：名前とメールアドレス・180万件：名前、メールアドレス、FFP番号、Tier情報など
	170万件	（うち、以下の情報を含む）・130万件：住所、手荷物の送付先情報（ホテル、会社など）・110万件：生年月日・90万件：電話番号・40万件：性別・1万件：食事の好み

表：カンタス航空が公表したデータ漏洩範囲（公開情報を元にトレンドマイクロで整理）

同社では、パスワードや決済情報、公的な身分証明書（パスポートなど）は漏洩していないとしています。本件はこの地域における最も重大なロイヤリティ関連のデータ漏洩事件の一つであるといえます。日本企業にとっても、本件は顧客エンゲージメントシステム、アイデンティティと紐づくデータセット、ベンダー管理型のデジタル基盤に対するリスクの高まりを示す重要な警鐘となります。
これまで単なるマーケティングツールと見なされてきたロイヤリティシステム^※は、今やサイバー犯罪者の主要な標的の1つとなっており、セキュリティ強化とガバナンス整備がより求められる存在になっています。
※システムの提供ベンダーによって「ロイヤリティプラットフォーム」と呼称されているケースもある。

サプライチェーンの”つなぎ目”を狙う攻撃

カンタス航空が、攻撃の起点がサードパーティ製のソフトウェアツールであったと認めたことは、世界的に広がりつつある傾向を反映しています。サイバー犯罪者が、企業と顧客の間で信頼された仲介役となっている統合システムや開発元ベンダーの環境を狙って攻撃するケースが散見されています。

この傾向は、日本企業にとっても大きな課題となっています。自社内のセキュリティ対策が万全であっても、マーケティングプラットフォームやロイヤリティエンジン、予約システム、分析ダッシュボード、CRMツールなどの外部委託サービスを通じてリスクにさらされ続ける状況があります。これらの統合が適切に管理されていなければ、それぞれが攻撃者にとっての侵入口となりかねません。

（関連記事）
・サプライチェーン攻撃とは？～攻撃の起点別に手法と事例を解説～
・事例から考えるサービスサプライチェーンリスクによる影響とその対策

こうしたリスクを軽減するためには、サイバーセキュリティの枠組みを社内の境界線にとどめず、顧客データを扱うすべてのサードパーティシステムに対して、厳格なリスク監視、アクセス制御、侵害時の責任追及といった体制を徹底して適用する必要があります。

危険にさらされるデータ：ロイヤリティシステムは格好の標的に

カンタス航空のデータ漏洩は、ロイヤリティデータの戦略的価値を浮き彫りにしています。金融システムは一般的に高度な暗号化や規制の対象となっていますが、ロイヤリティプログラム^※を実現するためのシステム（ロイヤリティシステム）には、恒常的に個人情報を豊富に含むプロファイルが保存されていることが多いでしょう。
※ロイヤリティプログラム：優良顧客に対して特典を付与することで、さらにロイヤリティ（愛着心）を高める施策。

カンタス航空のケースでは、数百万人分の顧客について、氏名、メールアドレス、生年月日、電話番号、そしてFFP情報といったデータが漏洩しました。決済情報やパスポート情報が含まれていなかったとしても、これらの情報の組み合わせだけで、フィッシングやなりすまし、ソーシャルエンジニアリングなどの攻撃が行われる可能性はあります（カンタス航空は、関連の詐欺に遭遇した場合、豪州サイバーセキュリティセンターのWebページ「Scamwatch」への報告を推奨しています）。

報酬制度やポイント会員制度、顧客分析プラットフォームなどを運用している多くの企業も、このロイヤリティシステムが攻撃者にとって高価値の標的となり得ることを考慮する必要があります。これらを守るには、単なるコンプライアンス遵守や運用ルール整備だけでは不十分であり、事業の中核機能にセキュリティ体制の強化が求められます。

情報開示の難しさ：評判リスクのマネジメント

カンタス航空が最初の発表を行ってから、悪意ある侵害であることを正式に認めるまでに1週間を要したことは、多くの企業が直面する「進行中のサイバーインシデントにおける情報発信のジレンマ」を示しています。
当初は技術的な不具合と説明されていたこの問題について、カンタス航空はその後、より広範な不正アクセスの事実が明らかになるにつれて、公式な発表内容を更新しました。こうした対応は、調査が続いている状況では一般的ではありますが、慎重に運用しなければ、事実を隠しているように見えてしまい、顧客や関係者の信頼を損ねる恐れもあります。
多くの企業にとっての教訓は、不確実性を前提とした危機対応の枠組みをあらかじめ整えておくことです。過剰な断定を避けながらも、明確なエスカレーションルート、定期的な情報更新、そして調査の進捗に応じて透明性を保つ言葉選びが、信頼を維持するうえで不可欠です。

ロイヤリティシステムが狙われる時代に

ロイヤリティシステムに対する脅威は、カンタス航空に限った問題ではありません。
別の事例では、スペインの航空会社Air Europaが2023年10月にサイバー攻撃を受け、オンライン決済プラットフォームを通じて顧客のクレジットカード情報が流出しました（スペインのCERT組織「INCIBE-CERT」の報告）。影響を受けた顧客には、予防的措置としてカードの使用停止と再発行が勧められましたが、航空会社は不正使用が確認された事例はないとしています。

また報道では、2023年9月に、世界的な旅行テクノロジー企業であるSabre（セイバー）が、Dunghill Leakと名乗るランサムウェアグループの標的となり、1.3テラバイト以上のデータが盗まれたとされています。盗まれたデータには、機密性の高い社内文書や空港職員の記録、チケット販売情報、個人を特定できる可能性のあるデータベースファイルが含まれていたとされています。

これらの事例は、攻撃者の行動パターンの変化を物語っています。従来のように企業の基幹インフラのみを狙うのではなく、顧客との接点にあるシステム群—アイデンティティ情報や行動データを多く含むロイヤリティデータベース、予約プラットフォーム、分析システム—に焦点が移りつつあります。これらのシステムには、継続的な顧客プロファイル、予約履歴、会員ステータス、旅行の好みなどが含まれており、長期的な詐欺やソーシャルエンジニアリング、さらにはダークウェブでの転売などに活用される可能性があります。

この傾向は、ロイヤリティマーケティングを重視する企業とってますます重要です。昨今の企業活動では、ロイヤリティシステムが小売、通信、旅行、金融などを横断する形で統合され、統一的な顧客プラットフォームとして運用されるケースが増えています。その結果、ひとたび侵害が発生すれば、その影響範囲は従来よりもはるかに広がる恐れがあります。

企業が取るべき戦略的対応

今回解説したカンタス航空のデータ漏洩被害は、航空業界だけでなく、顧客ID、サードパーティプラットフォーム、デジタルロイヤリティ基盤を管理しているあらゆる組織にとっての警鐘です。日本企業にとって、以下の5つの取り組みが重要な行動指針となります。

ロイヤリティシステムを戦略的インフラとして再定義する

多くの企業が利用するロイヤリティシステムは、航空、流通、宿泊、通信など多様な業種にまたがって存在していますが、重要資産としての扱いを再確認するべきです。もし取り扱いの定義が適切でない場合は、財務系システムと同様のガバナンス、暗号化基準、アイデンティティ管理の対象とすべきか検討しましょう。特にブランド横断や国境を越えるロイヤリティプログラムにおいては、データに対するアクセスなどの行動パターンの監視が今後ますます不可欠になります。

ベンダー管理とサードパーティ統制を強化する

今回の漏洩は、サードパーティのベンダープラットフォーム経由で発生しました。SaaSの導入が拡大する中、利用企業はベンダー責任の明確化を求める必要があります。特に顧客データが国外や外部委託先で処理される場合には、インシデント時の開示に関するSLA、セキュリティ認証、監査機能の有無について確認するべきです。

エンドポイントだけでなく、データの流れ全体を監視する

統合されたアプリケーションやバックエンドツール間の侵害は、エンドポイントセキュリティだけでは検知できません。APIや分析プラットフォーム、セッションデータに対するテレメトリ収集・分析の仕組みを導入し、可視性を高めることが求められます。たとえば、非アクティブなアカウントによるクエリ、第三者ツールによる古い記録へのアクセス、アップデート後の異常なAPIアクティビティなどに対し、アラートが上がるような仕組みが重要です。

脅威の変化を見据えた危機対応コミュニケーションを整備する

不確実な状況下であっても、早期かつ信頼性のある情報発信は信頼維持に繋がります。インシデントの進展に応じた階層的なメッセージングの運用指針（プレイブック）をあらかじめ策定し、IT部門、法務、広報が連携して、透明性と事業活動国の個人情報に関する法律への準拠（日本の場合、個人情報保護法）の両立を意識したタイムラインで開示できる体制を整えておくことが求められます。

ロイヤリティシステムに特化した侵害シナリオをシミュレーションする

多くの机上訓練（テーブルトップ演習）は、ランサムウェア攻撃や業務継続性を対象としていますが、日本企業は、顧客ロイヤリティシステム、サードパーティのシステムによるデータ処理、行動履歴の漏洩といったテーマを含む訓練の追加を検討したほうが良いでしょう。単なるシステム停止や事業停止だけではなく、企業の信頼性が損なわれることを想定したシナリオへの備えが、今後の危機管理の鍵となります。

終わりに：ロイヤリティデータの漏洩は戦略的ガバナンス上のリスク

信頼がデジタルシステムの中に存在する時代において、それは資本やインフラの稼働率と同じように厳格に守らなければなりません。これまでマーケティング資産として扱われてきたロイヤリティデータは、いまや企業全体に影響を及ぼすセキュリティリスクとなっています。
多くの企業にとって重要なのは、この問題がコンプライアンスの枠を超えているということです。ロイヤリティシステムは「信頼のインフラ」として、セキュリティ、透明性、ベンダー責任が交わる領域として統治されなければなりません。
サイバーセキュリティ部門は、ファイアウォールや金融系システムの維持だけに注力している余裕はありません。これまでサイバーリスクの優先度がそれほど高くないと考えられてきたロイヤリティシステムが、今やブランドの持続性の中核に位置しているとも言えます。
今回の問題で問われているのは、個々のプラットフォームが脆弱かどうかだけではありません。本質的に重要なのは、企業がロイヤリティシステムを真に“事業に不可欠なもの”として捉え、蓄積された信頼がリスクに直面した際に、事前に想定・検討し尽くした行動が取れるどうかなのかもしれません。

＜関連記事＞
・サプライチェーン攻撃とは？～攻撃の起点別に手法と事例を解説～
・事例から考えるサービスサプライチェーンリスクによる影響とその対策
・データ・サプライチェーンとは？マネジメント上の課題を解説する
・韓国国民の約半数に影響したSKテレコムへの侵害事例を考察～調査報告で言及されたマルウェア”BPFDoor”とは？
・ISMSとプライバシーマークは何が違う？概要や違いを解説