大韓航空で従業員約30,000件の個人情報が漏洩するデータ侵害が発生した。この侵害は元機内ケータリング子会社KC&Dサービスへのサイバー攻撃によって引き起こされた。漏洩した情報には氏名と銀行口座番号が含まれる。
KC&Dは2020年にプライベートエクイティファームのハーン&カンパニーに売却されていた。大韓航空の禹基洪副会長は従業員へのメッセージで、侵害の全容と影響範囲の特定に全力を注いでいると述べた。同社は侵害発覚後、KC&Dとのサービス統合の安全性チェックを含む緊急セキュリティ対策を実施し、関連当局に自主的に報告した。
顧客データへの影響は確認されていない。先週にはアシアナ航空でも約10,000人の従業員の個人情報漏洩が公表されており、航空業界では2件目のインシデントとなる。
From: 
Data breach at Korean Air leaks 30,000 employee records
【編集部解説】
今回の大韓航空における情報漏洩事件は、単なる一企業のセキュリティ事故にとどまらず、航空業界全体が抱えるサプライチェーンセキュリティの構造的課題を改めて浮き彫りにしました。
注目すべき点は、情報漏洩の発生源が大韓航空本体ではなく、2020年に売却済みの元機内ケータリング子会社KC&Dサービスであったことです。企業が事業売却や組織再編を行った後も、業務上の理由からデータ連携やシステム接続が継続しているケースは少なくありません。本件は、そうした「元グループ企業」がセキュリティ上の弱点になり得ることを示しています。
現時点で、大韓航空や当局は攻撃者の正体や具体的な侵入手法については明らかにしていません。一方で、2025年に入ってからは、航空業界やその周辺のサプライチェーン企業を含む複数の業種を標的としたサイバー攻撃が国際的に相次いでいることも事実です。特に、企業向け基幹システムを狙った攻撃キャンペーンが複数確認されており、第三者ベンダー経由で被害が拡大するリスクが専門家の間で指摘されています。
また、同時期にはOracle E-Business Suiteのゼロデイ脆弱性が実際に悪用された事例が海外で報告されており、航空業界を含む大規模組織のサプライチェーンが潜在的な標的となっていました。ただし、今回のKC&Dへの攻撃で特定のソフトウェアや脆弱性が使われたかどうかは確認されておらず、両者の直接的な関連を示す公式情報はありません。
こうした背景を踏まえると、今回の事件は「特定の攻撃グループによる犯行」と断定するよりも、サプライチェーン全体に内在するセキュリティ管理の甘さが顕在化した事例として捉えるべきでしょう。KC&Dは売却から5年が経過していたにもかかわらず、依然として大韓航空の従業員データを扱う環境にありました。この状況は、多くの企業にとって決して他人事ではありません。
さらに、わずか1週間前にはアシアナ航空でも約1万人分の従業員情報漏洩が公表されており、短期間に同業界で類似のインシデントが続いたことは、業界全体のサイバーセキュリティ対策に対する警鐘といえます。
今回漏洩した情報には氏名や銀行口座番号が含まれており、フィッシング詐欺や金融詐欺に悪用されるリスクは無視できません。大韓航空は現時点で不正利用の事例は確認されていないとしていますが、従業員に対して注意喚起を行っています。
今後、航空業界にはゼロトラストの考え方を前提としたアクセス管理や、売却・契約終了後のシステム接続やデータ権限の定期的な見直し、サードパーティーを含めた包括的なセキュリティ監査が求められるでしょう。今回の事件は、サプライチェーン全体を「一つの攻撃面」として捉える必要性を、改めて突きつけています。
【用語解説】
Clopランサムウェアグループ
ロシア語圏を拠点とするサイバー犯罪集団で、企業のデータを暗号化して身代金を要求する攻撃を行う。2019年頃から活動を開始し、特にゼロデイ脆弱性を悪用してサプライチェーンを標的とする手法で知られる。被害企業のデータを窃取し、支払いに応じない場合は公開すると脅迫する二重恐喝戦術を用いる。
ゼロデイ脆弱性(CVE-2025-61882)
ソフトウェアの開発者やセキュリティコミュニティが認識する前、または修正パッチが提供される前に悪用される脆弱性のこと。今回のケースでは、Oracle E-Business Suiteに存在した未知の脆弱性が攻撃に利用された。CVE番号は脆弱性を識別するための国際的な標準識別子である。
サプライチェーンセキュリティ
企業が製品やサービスを提供する際に関わる外部パートナーや協力企業のネットワーク全体におけるセキュリティ対策。航空業界では、ケータリング、清掃、整備など多数の外部企業と連携するため、一つの弱点が全体のセキュリティリスクとなる。
ゼロトラストセキュリティ
「内部ネットワークも信頼しない」という前提に立つセキュリティモデル。すべてのユーザーやデバイスを常に検証し、最小限のアクセス権限のみを付与する。従来の「境界防御」型セキュリティに代わる、現代的なアプローチとして注目されている。
【参考リンク】
大韓航空(Korean Air)公式サイト(外部)
韓国最大の航空会社。1969年設立で世界44カ国124都市に就航し、旅客・貨物輸送を行う。
Oracle公式サイト(外部)
米国の大手エンタープライズソフトウェア企業。今回悪用されたE-Business Suiteを提供している。
Hahn & Company公式サイト(外部)
韓国の大手プライベートエクイティファーム。2005年設立でKC&Dサービスを2020年に買収した。
【参考記事】
Korean Air Employee Data Breach Clop Ransomware(外部)
Clopランサムウェアグループによる攻撃の詳細とOracle脆弱性の悪用について報告している。
Korean Air C&D Service Data Breach in 2025(外部)
KC&Dサービスへのサイバー攻撃が2025年11月24日に発生したことを記録している。
Asiana Airlines Intranet Hack Exposes 10000 Employees(外部)
アシアナ航空の約1万人の従業員情報漏洩事件を報道。12月24日に発覚した。
【編集部後記】
今回の事件は、私たち自身の働く環境にも深く関わる問題です。あなたの勤務先では、退職した従業員や取引を終えた外部パートナーのアクセス権限が適切に管理されているでしょうか。
企業のセキュリティは、IT部門だけの課題ではありません。もし社内で「以前の取引先がまだシステムにアクセスできる」といった状況に気づいたら、それは見過ごせないリスクかもしれません。サプライチェーン全体を守るために、私たち一人ひとりができることを考えてみませんか。
