飛行機の搭乗券が写った写真から個人情報を抜き出すまでの記録、オーストラリアの元首相の場合

オーストラリアの元首相であるトニー・アボット氏がInstagramに投稿した「飛行機の搭乗券の写真」から、アボット氏のパスポート番号や電話番号を割り出せるとして、その方法がオンラインで公開されました。

When you browse Instagram and find former Australian Prime Minister Tony Abbott's passport number
https://mango.pdf.zone/finding-former-australian-prime-minister-tony-abbotts-passport-number-on-instagram

Former Australian PM Tony Abbott's passport details and phone number obtained by hacker | Tony Abbott | The Guardian
https://www.theguardian.com/australia-news/2020/sep/16/former-australian-pm-tony-abbotts-passport-details-and-phone-number-obtained-by-hacker

Tony Abbott hacked: Former PM’s massive boarding pass mistake
https://www.news.com.au/travel/travel-updates/health-safety/tony-abbotts-massive-boarding-pass-mistake/news-story/5eff8faffe0f925fe9ccb73b56c59bd5

ハッカーとして活動するアレックスさんはある日、友人から「この男をハッキングできる？」というメッセージを受け取りました。このメッセージには、オーストラリアの元首相であるトニー・アボット氏がInstagramに投稿した、搭乗券の写真が添付されていました。

以下が問題となったアボット氏のInstagram投稿。画像のモザイク処理はアレックス氏が施したもので、投稿時にはありませんでした。なお、記事作成時点では投稿は削除されています。

アレックス氏にこの話が持ちかけられたのは、「アレックス氏が普段から違法なハッキング活動を行っているから」というわけではなく、その数日前に友人間で「Instagramに投稿される搭乗券を利用してハッキングが行われている」ことが話題になったため。Instagramでは「#boardingpass」というタグが使われており、このタグが付けられた投稿から、パスポート番号を不正に取得されるという被害が起こっているとのこと。

具体的な搭乗券を使ったハッキング方法を知らなかったアレックス氏は、まずGoogle検索を行い、搭乗券の写真からどのようにハッキングが行われているかを解説するウェブページを見つけ出しました。この解説には、ハッキングには「予約番号」と「予約者の姓」を利用すると記されていました。予約番号と姓は予約者が航空会社のウェブサイトにアクセスし、予約内容を修正する際にも使われます。予約番号を取得するには搭乗券にあるバーコードを読み取らなければならなたいため、アレックス氏は写真に写っていたバーコードのコントラストを上げるなどし、何とか明確なバーコードを得ようと工夫しました。

しかし、バーコードとの格闘を数十分続けたのちに、搭乗券の項目に予約番号を意味する「Booking Ref」という記載があることを発見。バーコードを読み取ることなく、無事予約番号を取得しました。

航空会社のウェブサイトにアクセスし、予約番号と予約者の姓である「Abbott」を入力すると……

以下のような予約管理画面にアクセスできたとのこと。

管理画面にはアボット氏の乗る飛行機の搭乗時間やマイレージ番号、予約の際に利用した旅行代理店の名前などが書かれていましたが、アレックス氏がアクセスした時点で既に飛行機はフライトを終えていたので、ここで何かを変更できるわけではありませんでした。そこで、さらなる情報を求めてアレックス氏は右クリックして「要素の調査」にアクセス。

「要素の調査」とは、ウェブサイトに使われているHTMLを表示する機能で、プログラマーがウェブサイトの仕組みを理解したい時に使います。アレックス氏がCtrl＋Fで「passport」と検索すると、アボット氏のパスポート番号などが記載されている箇所を発見。しかし、「phone」や「number」といったワードで検索しても、電話番号などの個人情報は引き出せませんでした。

しかし、よく見てみると、HTMLの中には意味がわからないコードも含まれました。

RQST QF HK1 HNDSYD/03EN|FQTV QF HK1|CTCM QF HK1 614[phone number]|CKIN QF HN1 DO NOT SEAT ROW [row number] PLS SEAT LAST ROW OF [row letter] WINDOW

また「ひとみがアボットにFASTTRACKを希望した」という、謎の文章も。

HITOMI CALLED RQSTING FASTTRACK FOR MR. ABBOTT

上記の文字列は航空会社で使われている暗号に違いないと考えたアレックス氏は、航空会社が独自に使うコードについて、Googleで検索。その結果、謎のコードが略語であることが判明しました。略語の一例は以下の通り。

RFTV／Reason for Travel(旅の理由)
UMNR／Unaccompanied minor(子どもの単独旅行)
PDCO／Carbon Offset(カーボンオフセット)
WEAP／Weapon(武器)
DEPA／Deportee—accompanied by an escort(同伴つきの国外追放者)
ESAN／Passenger with Emotional Support Animal in Cabin(精神的支えとなる動物が客室に同伴)

そして、アレックス氏が発見した文章に含まれるCTCMは、乗客の電話番号であることがわかり、アレックス氏はアボット氏個人の電話番号を入手できたわけです。

アレックス氏はその後、何カ月もかけてアボット氏の個人秘書に連絡をとり、アボット氏自身と対話する機会を得たとのこと。アレックス氏によると、アボット氏は「どのようにしてアレックス氏が自分のパスポート番号を入手したのかという、自分の理解が合っているのか」を確認し、そのような「ITについて」学ぶ方法を尋ねたそうです。「彼は、『どのくらいの情報が搭乗券に含まれ、私のような人々が安全を保つために必要なことは何か』といういい質問をしました。また、『なぜ搭乗券からパスポートの番号を知ることができるのに、バスのチケットからはできないのか』とも尋ねました」とアレックス氏は述べています。またアボット氏は「思うに、これは、私の年代の人々が何をどう感じているかを表す一件です」とも語ったと伝えられています。

アレックス氏はハッキングについてアボット氏に伝える前、誤解されて逮捕されるのではないかと恐れていたそうですが、そのような展開にはなりませんでした。

なお、アレックス氏はハッキングを行ったオーストラリアのカンタス航空にも「搭乗券から乗客の個人情報がわかってしまう」という問題について知らせており、記事作成時点ですでに問題は修正されているとのことです。