メモ

飛行機の搭乗券に印刷されたバーコードを読み取ると個人情報など意外にも多くの情報が書かれていた


近年ではスマートフォンや手首に付けたスマートウォッチをかざして飛行機に搭乗できる「チケットレス」サービスを利用する人も多くなったと思いますが、今でも横長の厚紙に印刷されたボーディングパス(搭乗券)を受け取っている人もいるはず。何気なく手にして、フライト後はポイと捨ててしまう搭乗券ですが、実は記載されているバーコードには多くの情報が含まれている点には注意が必要なようです。

What’s in a Boarding Pass Barcode? A Lot — Krebs on Security
http://krebsonsecurity.com/2015/10/whats-in-a-boarding-pass-barcode-a-lot/

飛行機に乗ったことがある人の多くは、このような横長のボーディングパスを受け取ったことがある人も多いはず。かつては厚手の丈夫な紙が使われていましたが、近年では感熱紙によるシンプルなものも増えています。このような搭乗券に必ず記載されているのが、赤枠で囲ったバーコード。


このバーコードは「PDF417」と呼ばれる規格に基づくもので、海外で多く使われているタイプの二次元コードのひとつです。

PDF417とは|2次元コードの基本|バーコードの規格と読み取りノウハウが学べるサイト「バーコード講座」|キーエンス


元ワシントンポスト紙の記者で、現在はセキュリティ関連のブロガーであるBrian Krebs氏の「Krebs on Security」に、ある読者「Cory」氏からの情報が寄せられました。Cory氏の友人は旅行の際に搭乗券の写真をSNSにアップしたのですが、そこにはバーコードがはっきり写っており、完全に読み取れる状態になっていたとのこと。気になったCory氏はテストとして搭乗券の画像を自分のPCに保存してトリミング加工を行い、バーコードだけの状態にしてオンラインのバーコード判読サイトにアップロードしたそうです。

ClearImage Barcode Recognition - Read Code 39 code 128 code39 code128 1D barcodes and 2D PDF417 DataMatrix symbologies from PDF TIFF JPG image from scanner, fax or camera


すると、わずか数秒でバーコードの中身が解読され、搭乗者の氏名や便名、搭乗地・目的地などにとどまらず多くの情報が含まれていたことがわかったとのこと。「MATTHEW」というファーストネームを持つ男性(MR)の予約番号(Record Key・現在は「Record Locator」)が表示され、ナイジェリアのンナムディ・アジキウェ国際空港(ABV)からドイツのフランクフルト空港(FRA)に飛ぶルフトハンザ航空(LH)の0595便に乗っていたことがわかります。さらに、情報の末尾にはスターアライアンスのフリークエントフライヤープログラム(FFP)のメンバーID(Frequent Flyer ID)が含まれていることもわかります。


特に、予約番号とPPFのメンバーIDは貴重な「情報源」となるとのこと。Cory氏はこの番号とMatthew氏の名前を元にルフトハンザのサイトにアクセスすると、該当するフライトの情報を取得できただけでなく、アカウント情報そのものにもアクセスできる状態になったそうです。恐らくはアカウントにログインできたものと思われるわけですが、そこからさらにスターアライアンスのアカウントに登録されている未搭乗のフライト予約情報を見ることもできてしまったとのこと。

さらに事態は深刻な方向に進みます。Cory氏は予約を行った人物(=他人)の氏名を知ることができたうえに、予約済みのフライトの座席を変更したり、さらには予約そのものをキャンセルすることも可能な状態になっていたそうです。


簡単にアカウントにログインできたのは、SNSから比較的簡単に個人情報を得られるようになったという背景もあるようです。パスワードを忘れてしまった時には「パスワードをお忘れの場合」をクリックして「秘密の質問」に答えることもありますが、ここに「母親の旧姓は?」という質問がある場合は危険。Facebookのアカウントから母親をたどり、母親からつながっている親族の氏名をリストアップするだけで母親の旧姓が知られてしまう場合もあり、このMatthew氏のケースがまさにその典型例だったとのこと。

なお、搭乗券に記載されているバーコードを同様の手法で解読しても、チケットの予約状況などによって含まれる情報が異なるためか、同じように全ての情報が表示されるとは限らないようです。ためしに手元のチケットをスキャンしてみましたが、得られる情報は限られたものでした。

搭乗券のバーコードは表示方法が規格で定められています。以下のブログはその内容を詳細に解説しています。

What’s contained in a boarding pass barcode? | shaun ewing
https://shaun.net/posts/whats-contained-in-a-boarding-pass-barcode

また、IATA(国際航空運送協会)が定める指針には、さらに詳細な運用方法などが記載されています。

(PDFファイル)IATA Bar Coded Boarding Pass - bcbp_implementation_guidev4_jun2009.pdf
http://www.iata.org/whatwedo/stb/documents/bcbp_implementation_guidev4_jun2009.pdf

なお、近年増加しているeチケットで使われるQRコードは情報の種類が異なるようで、スマートフォンなどで読み取っても詳細な情報が判読されることはないようです。とはいえ、どんな情報が含まれるとも限らないこれらのバーコードが記載された書類を廃棄する場合は、シュレッダーにかけるか手でちぎって復元できない状態にしてしまうことが欠かせないといえそうです。

この記事のタイトルとURLをコピーする

・関連記事
空港職員が使うTSAロックのマスターキーの写真から3Dプリンターで合鍵を出力して本当に解錠できることが発覚 - GIGAZINE

タダで世界中を飛び回る「マイレージ、マイライフ」みたいな人生を送る男 - GIGAZINE

飛行機の遅延・キャンセル時にお金を取り戻せる「AirHelp」 - GIGAZINE

アメリカの出張族が語る米国の航空旅行業界が持つ長所・短所とは - GIGAZINE

飛行機のチケットの買い時をビッグデータで予想して通知するサービス「FLYR」 - GIGAZINE

・関連コンテンツ

in メモ,   乗り物, Posted by darkhorse_log

You can read the machine translated English article here.