📝 どんなニュース?
2025年9月、ヒースロー・ブリュッセル・ベルリンなど欧州主要空港のチェックインシステムが約3日間停止し、数千人が手書き搭乗券で出発した大事件があった。当初は「ランサムウェア攻撃」と発表されたが、ドイツのheise onlineが10月末に公開した詳細調査で内実が明らかになった。攻撃者が使った認証情報は、ユーザー名aiscustomer、パスワードmuse-insecure——4年前のインフォスティーラー感染で社員PCから漏洩したもので、その後一度も変更されていなかった。
📰 元記事・原文引用
元ネタ:Collins Aerospace: Old Passwords and Delayed Response Enable Data Theft(heise online / 2025年10月26日)
The username was aiscustomer, and the password was muse-insecure.
🔥 なぜ今、話題になっているの?
この事件は「公式発表と攻撃者の主張がズレている」点に本質がある。Collins Aerospace親会社RTXは米SEC報告で「ランサムウェア」と説明、一方の攻撃者Everestは「FTPサーバーから50GBを抜いただけ。暗号化はしていない」と主張する。
本来「ランサムウェア」はファイル暗号化を伴う攻撃を指すが、近年は「データを盗み、公開しない代わりに身代金を要求する」恐喝型もこの言葉に含まれてきた。Collins側が「ランサムウェア」とラベル付けすることで、責任の本質——4年前から放置された裏口——が霞む構造になっている。
さらに時間軸が不可解だ。データ窃取は9月10日、Collinsが反応したのは1週間後、空港停止は9月19日。Everestによれば交渉は18〜24日で破談し、ちょうどその期間に空港が機能停止している。別グループによる暗号化ではなく、交渉決裂を受けた”見せしめ”としてのインフラ人質化、というシナリオが浮かび上がる。
つまり構造は「外部の高度な攻撃」ではない。社員PCの感染ログがダークウェブに4年間放置 → 変えられなかったデフォルトパスワード経由で侵入 → 交渉決裂で航空インフラが人質に。サイバー攻撃というより、内部統制の劣化が外部に露出した事件である。
🇪🇺 ヨーロッパではどう報じられているか
ドイツのheise onlineはこの事件を「security culture(セキュリティ文化)」の崩壊として批判的に追及した。航空インフラを支える基幹ベンダーが、4年前の感染ログを放置し、デフォルトパスワードを変更しないという「基本動作」を怠っていた点を、技術メディアならではの解像度で構造化している。
アイリッシュ・タイムズはダブリン空港の8月分搭乗券データが漏洩した可能性を報じ、SAS航空などは既に乗客への通知を開始した。一方、英国NCSC(国家サイバーセキュリティセンター)のリチャード・ブラウン長官は「攻撃者もマルウェアの種類も把握している」と公言したが、具体名は伏せた。EU委員会は声明を出さず、ENISA(EUサイバーセキュリティ機関)の声明も「ランサムウェアの一種を特定」という曖昧表現にとどまっている。
EU圏内の技術メディアは「ベンダーの責任問題」として批判的に追及しているが、政府機関は意図的に詳細を伏せている。航空インフラの脆さが完全に露呈すると模倣攻撃を誘発しかねない、という安全保障判断とみられる。日本のNHK・読売の報道は「サイバー攻撃で空港混乱」止まりで、内部統制の腐敗という構造には踏み込んでいない——ここが本記事の付加価値になる。
まとめ
「muse-insecure」は単なる弱いパスワードではなく、4年間誰もチェックしなかった企業文化の象徴である。そして「ランサムウェア」という曖昧な言葉が、暗号化攻撃と恐喝型データ窃取を一緒くたにすることで、当事者企業は責任を薄められる構造になっている。日本の空港もNECやNTTデータ等のベンダー依存で運営される以上、同じ構造リスクは他人事ではない。「攻撃された」のではなく「裏口を開けっぱなしにしていた」——この違いを、業界全体が直視すべき段階に来ている。
