バニラエア、ウェブサイトに不具合、第三者の予約情報が閲覧可能に

  • 2015年12月13日

 バニラエア(JW)は12月11日、同社のウェブサイトに不具合が生じ、第三者が予約情報を閲覧できる状態にあったことを明らかにした。不具合が発生していた期間は、11月18日午前2時から12月8日12時30分まで。JWの利用者は予約の確認や変更をおこなう際に、予約番号とメールアドレスを入力して所定の画面に移動する必要があるが、アドレスのチェック機能に不具合が生じたため、予約番号のみ合致すれば予約情報が閲覧できる状態にあったという。同社によれば、このような不具合が発生したのは今回が初めて。

 JWによれば、同社は11月18日午前2時にウェブサイトの改修を実施し、利用者が予約検索画面から予約の確認や変更をおこなう際の入力項目を変更。予約番号とメールアドレスを入力することで画面を移動するよう設定を変更したが、12月3日には利用者から「他の利用者の予約内容が表示された」との報告があり、調査を開始した。

 12月8日12時30分には、メールアドレスの正誤の確認機能が正常に働いていないことが判明。異なるアドレスが入力された場合でも、6文字からなる予約番号が一致していれば画面が移動して予約情報が表示されることが明らかとなった。推測または偶然に入力した予約番号が実在するものだった場合、第三者が予約の変更および取り消しをおこなえる状態にあったことになる。

 閲覧と変更が可能な状態にあった情報は、ローマ字による氏名、性別、生年月日、電話番号、メールアドレス、クレジットカード番号の下4桁など。国際線予約についてはパスポート情報なども変更可能な状態にあった。同社は発見した不具合を即時修正し、その後の正常稼動を確認したという。

 JWによれば、同期間中に予約の確認や変更のためにおこなわれた検索は8527件。そのうち第三者が閲覧または予約情報を変更した可能性がある予約は142件・262名分で、現在は詳細を解析している。142件の予約者に対してはメールで個別に連絡を取っているが、12月11日17時の時点で具体的な被害などの報告はないという。