成田空港を拠点とする格安航空会社(LCC)のバニラエアは2015年12月11日、同社ウェブサイト上で操作により第三者が予約便の閲覧、予約変更、取消操作ができる環境にあったと発表しました。バニラエアを予約済みの旅客が他の旅客の予約内容が画面に表示されたとの指摘を受け、事態が発覚したものです。
バニラエアは2015年11月18日(水)2時、ウェブサイトの改修を実施し、予約済みの旅客がウェブサイトを操作すると予約検索画面から「予約便の確認、変更」を行う際、「予約番号」と「新規予約時に登録されたメールアドレス」を入力し、画面遷移する設定に変更しました。その後、12月3日(木)に検索を行った利用者から、他の旅客の予約内容が画面に表示されたと指摘があり、調査を開始しました。
その後、12月8日(火)に予約検索機能の不具合の原因が判明しました。原因は、メールアドレスの正誤をチェックする機能が正常に働いておらず、登録されたメールアドレスと異なるものが入力された場合でも、数字とアルファベットの組み合わせ6桁の予約番号が完全一致した場合、画面が遷移し、予約便名、搭乗日が表示される状況が確認されました。このため、推測、または偶然に入力した予約番号が実在する場合、第三者でも予約便の閲覧、予約変更、取消操作が可能な環境と判明しました。
この第三者が閲覧できた情報は、ローマ字の旅客氏名、性別、生年月日、連絡先電話番号、現住所郵便番号、メールアドレス、旅程表に表示される言語選択、居住国・地域、クレジットカード番号下4桁で、国際線予約はさらに国籍、パスポート番号、バスポート発行国、パスポート有効期限が閲覧、変更できる環境でした。バニラエアはすでにシステムの不具合を修正し、正常に稼動していることを確認しました。
不具合が発生していた期間は2015年11月18日(水)2時から12月8日(火)12時30分で、対象時期の検索システムを利用した検索は8,527件でした。このうち、第三者による予約内容の変更操作の可能性がある142件262名の予約について、詳細を解析しています。すでに、142件の予約に対し、個別に登録されたメールアドレス宛に連絡を行い、確認を進めています。
バニラエアでは、システム不具合に起因し、「お客様をはじめ関係者の皆様に多大なるご迷惑とご心配をおけしましたことを、深くお詫び申し上げます」と陳謝しています。