搭乗券の写真をネットに公開してはいけない7つの理由

待ちに待った海外旅行。みんなに自慢したくて、飛行機の搭乗券の写真をSNSにアップする人がいます。でも、その写真が犯罪者の目にとまったら、楽しいはずの旅行が台無しになってしまいます。

boarding-paa-featured

空港にチェックインして「これからロンドンに行く」ことを自慢するのは、もう時代遅れです。まず、SwarmはFoursquareから切り離され、アプリとしての魅力や利用価値がなくなりました。そしてもう1つ。「写真は?ないってことは嘘でしょ」と言われるのがオチです。SNSにはソーシャルプルーフ(社会的証拠)が必要なのです。

自慢するならソーシャルメディアに搭乗券の写真を投稿するのが一番、と思っている人は大勢いるようですが、それは同時に悪夢の始まりかもしれません。このような画像を「公開」設定で投稿する人が多いのですが、こういう人たちは自慢することで頭が一杯で、悪い輩に利用されかねない情報が画像の中に隠れていることなど思いもよらないのです。

搭乗券には名前と目的地のほかにも、重要情報がいくつか記載されています。こういった情報は一見したところ、空港のスタッフでなければ特に意味もなさそうです。

また、重要情報はチケットのスクリーンショット、モバイルアプリで取得した予約確認書、さらに確認メールにも含まれています。ネット上で旅行の計画を自慢するようなことはないにしても、強固ではないパスワードを使いがちな人は、第三者にこっそりメールを読まれて、このデータを見られてしまう可能性があります。

さて、搭乗券には他にどのようなデータが入っているのでしょうか?まず、マイレージプログラムの会員番号が記載されている可能性があります。場合によっては、第三者でもこの番号かカード所有者の名前があれば、航空会社のWebサイトでその人の個人プロフィールにログインしたり、オンラインチェックインしたりできます。

搭乗券に隠されている重要情報の2つ目は、航空券予約記録(Passenger Name Record:PNR)です。PNRは予約コードの一種で、コンピューター予約システムで乗客を特定するために使われます。これには、乗客自身、そして一緒に旅行する人すべての経路データが含まれます。したがって、家族旅行の場合、家族全員のPNRは同じです。

ちなみに、このコードが直接、搭乗券に載っていなくても、バーコードから割と簡単に取り出すことができます。しかもバーコードは必ず搭乗券に印刷されています。

PNRは統一規格に準拠する義務がなく、予約システムはそれぞれ独自の認証情報を持っていますが、どのシステムにも共通しているのは、乗客の名前、フライトを予約した人の連絡先データ、チケット番号、少なくとも1つの飛行区間の情報(出発地、目的地、または日付と時刻)です。予約者名簿に載っている乗客はすべて飛行区間が同じです。したがって、フライトが異なれば、PNRも異なります。

また、PNRには料金についての情報のほか、支払い情報(クレジットカード番号など)も含まれます。さらに、乗客の電話番号、渡航先の宿泊先情報、生年月日、パスポートのデータがPNRに入っているケースもあります。こう考えてみると、かなり貴重な情報です。もし犯罪者がこのようなデータを手に入れたら、いったい何ができるのでしょう。

1. お留守のようなので
このデータを使って持ち主を攻撃するなら、予約番号をもとに、その人がいつ家を出て、いつ帰ってくるかを調べるのが一番手っ取り早い方法です。その家族が2週間のバケーションに出かけたとわかれば、その間、家には誰もいないことになります。強盗や自動車泥棒にとって、これほどありがたい情報はありません。家に押し入っても、レッカー車で車を持ち去っても、誰も家に帰ってくる恐れはないのですから。

11_ja-1024x723

マイクがチェックインしてくれたおかげで、トムとジェイクはまんまと侵入に成功した。

2. 真ん中の席でいい?
この情報を手に入れた人は、飛行機の座席で意地悪な椅子取りゲームをできます。あなたには機内で一番悪い席が割り当てられるかもしれません。たとえば、トイレのそばの通路側とか。普通は、いったんチェックインしたら席の変更はできません。できたとしても、満席のフライトなら交換は無理というものです。

家族旅行の場合、家族が客室でバラバラの席になる可能性があります。たとえば、父親が客室前部のトイレのそばに移され、残りはそのまま客席後部のトイレそばに座らされる、とか。この場合、長距離フライトではほとんど眠れないでしょう。常に人が横を行き来したり、座席の背もたれをつかんで体を支えていたりするわけですから。その背もたれは、間違いなくまっすぐ立ったままの状態でしょうし。

3. 家に帰りたかったの?
想像してみてください。空港に到着し、自分の名前が搭乗者名簿に載っていないことに気付いたとしたら。何者かが自分になりすまして航空会社に電話をかけ、個人情報に関する質問にすべて答えた後で、チケットのキャンセルを申し込んだことが、後で判明するのです。

その人物があなた本人でなかったことを証明するのは可能かもしれません。また、翌日のフライトならキャンセル料を支払わずに新しいチケットを手に入れられるかもしれません。でも残念ながら、本来乗るはずだった飛行機はすでに離陸しています。空港で待っている間は、すばらしい休憩施設 - 硬いベンチと、誰かが読み捨てた古い新聞 - をお楽しみください。もし、乗継便を予約していたとしても、残念ながらどこにも行けません!

4. 搭乗日は?
座席の変更と同じ話で、搭乗者の情報を手に入れた人が悪ふざけをして、帰国便の搭乗日を変更するかもしれません。乗るはずだった飛行機が昨日すでに飛び立っていた(いたずら者の気分によっては明日飛び立つ)ことに気付いたときには、その悪人は遠くから笑っていることでしょう。変更手数料がかからなければの話ですが。

もちろん、予約の変更に費用がかかることを前提としている運賃の場合、単なるいたずらのために、悪者がその費用を支払う覚悟があるとは考えられません。しかし、ここにちょっとした裏ワザがあって、それを使えば、支払い手続きを完了しなくても、変更が可能なのです。変更が完了したら、座席はキャンセルされ、おそらく再販売されます。そうなったら、もう一度料金を支払って、チケットを取り戻すしかありません。

ちなみに、これは詐欺師にとって都合のいいシナリオで、「代金100ドルを払え、さもなければ料金が倍になるぞ」と脅すことができます。さらに、もともとの席は別の客に再販売されるため、被害に遭った人は追加料金を支払ったうえ、別の搭乗日を選択しなければなりません。年末年始が近づいており、敵のクリスマス休暇を台無しにするのにこれほどいい方法はありません。また、この詐欺行為では、以前のようにコールセンターに連絡する必要もありません。多くの航空会社で、乗客はフライトの変更をオンラインでできるようになっています。

5. 「仕事で」出張
ある乗客が妻に「仕事で出張に行く」と言って家を出たとします。しかし、実は愛人と異国で逢瀬を楽しむつもりです。もし、2人一緒に飛行機で移動していたら、それはPNRに現れます。もし、この旅行者が得意げに搭乗券をインターネットに投稿でもしたら、悪意ある何者かが「不倫旅行を妻にばらされたくなかったら、口止め料を払え」と脅してくるかもしれません。相手が著名人だったら、週刊誌に情報を売って金儲けができるでしょう。

6. 溜まったマイルよ、さようなら
先ほども書いたとおり、PNRにマイレージプログラムの会員番号が入っていることがあります。この番号とちょっとしたソーシャルエンジニアリングのワザを使えば、第三者があなたのマイレージ会員プロフィールにアクセスできるようになります。パスワードのリセットも簡単です。パスワードのリセット手続きには、単純な秘密の質問に答える必要がありますが、たとえば「お母さんの旧姓は?」と訊かれても、このソーシャルメディア時代、あなたのお母さんのプロフィールを探し出せれば、答えはあっという間に見つかります。

プロフィールにアクセスされたら、ボーナスマイルをすべて引き出されるかもしれません。詐欺行為があったという事実を航空会社に証明するのは大変でしょう。もし、攻撃者がマイルをプログラムの契約条件に違反する目的(たとえばマイルの転売)で使用したら、航空会社にマイレージプログラム会員権を永久に停止されてしまうことも考えられます。

7. さらば、財産
PNRに携帯電話の番号が含まれていたら、詐欺師にとっては大チャンス。搭乗者のSIMカードを複製し、テキストメッセージ(これには、メールサービスやソーシャルメディア、銀行さえも使用している2段階認証システム経由で送信されたメッセージも含まれます)を横取りして、口座から有り金を残らず引き出したり、その口座を使ってオンライン決済したりできます。

今回紹介した例には極端なものもありますが、できないわけではありません。結局のところ、インターネット上で搭乗券を晒せば、犯罪者にたくさんのチャンスを与えることになります。狙われた人にしてみれば、どれも不愉快な経験ですから、南国の楽園行きの搭乗券を世界のみんなに自慢する前に、ちょっと考えてみてください。

ヒント