バニラエア、個人情報漏洩?

LCCのバニラエアは12月11日、同社ウェブサイトで不具合が発生していたことを明らかにした。第三者が予約内容を一時期に閲覧や変更、取り消しできる状態になっており、最大142件262人の予約内容が閲覧されたり、内容を変更された可能性があるという。現在ウェブサイトは正常な状態だという。11日の時点で利用者から被害報告はないとしている。
同社によると、11月18日午前2時にウェブサイトの改修を実施。この改修で予約内容を表示する画面へ移動するときのチェック機能に不具合が発生したという。同社のサイトは「予約番号」と「連絡先メールアドレス」を入力し、予約時のものと一致すると予約便の確認や変更ができる。しかし、改修後の不具合で予約番号だけ合致すれば、登録と異なるメールアドレスが入力されても予約内容を閲覧できる状態になっていたという。12月3日に予約内容を検索した利用者からの指摘で発覚し、調査を開始。8日午後0時30分に不具合の原因が判明した。
原因はメールアドレスの正誤を照合する機能が正常に動作しておらず、登録時と異なるものが入力された場合でも英数字の組み合わせ6ケタの予約番号だけ一致すれば予約便名と搭乗日が表示される状態になっていた。この際、メールアドレス欄を空欄にした場合はエラーと判断され、予約内容は表示されない状態になっていた。
この不具合により第三者が予約便の閲覧や変更、取り消しができる状況下にあったという。予約情報としてローマ字による利用者の氏名と性別、生年月日、電話番号、郵便番号、メールアドレス、旅程表に表示される言語、居住国・地域、クレジットカード番号の下4ケタが閲覧・変更できる状態だった。
不具合が発生した期間中に検索されたのは3月22日までの予約情報で、検索された件数は8527件。このうち、第三者が閲覧や予約変更できた可能性があるものは、予約番号とメールアドレスが正しいものや、エラーではじかれたものを除くと最大142件262人分の予約が対象であることが分かり、詳細を解析しているという。
8日の不具合発覚から発表までに時間を要した点について、バニラでは件数の絞り込みに時間を要したとしている。バニラでは142件の予約に対し、登録されていたメールアドレス宛に連絡しているとのこと。
LCCは航空券の安い代わりにサービスが必要最低限げシンプルと言うのが特徴だが、やはり利用するには信頼できるかどうかが重要になってくる。今回の不具合発生は今後に大きく影響してきそうだ。