ハワイアン航空、サイバー攻撃の衝撃！業界が直面する新たな脅威とは？

1. リード――“楽園の玄関口”を襲ったサイバーの高波

　ホノルル国際空港の出発ロビー。アロハシャツ姿の家族連れが自動チェックイン機の前で立ち止まり、スマートフォンで航空会社のX（旧Twitter）を確認している。見慣れたハワイアン航空のロゴの横に並ぶのは「We are addressing a cybersecurity event―現在フライトに影響はありません」というピン留め投稿。2025年6月26日午前8時（ハワイ時間）、同社のITシステムを一部停止させた“サイバー攻撃”の一報は、観光地ハワイの玄関を通過する世界中の旅行客に一瞬の緊張を走らせた。だが、滑走路ではA330が定刻どおりに離陸し、客室乗務員はいつもの「Aloha!」の笑顔で迎え入れる――そんな奇妙な“平常運航”の裏側で、情報部門と外部フォレンジック会社、そして連邦当局が休みなく奔走していた。 hawaiinewsnow.com

2. サイバー攻撃発覚のタイムライン

• 6月26日 06:45 HST：ネットワーク監視ツールが予約管理サーバーへの大量トラフィックを検知。

• 07:10：同社SOC（セキュリティ運用センター）が異常を“インシデント”と判断し一部システムを隔離。

• 08:00：ハワイ州運輸局（HDOT）へ第一報。同局公式Xが「フライトは安全」と投稿（いいね1,800件）。

• 10:30（23:30 UTC）：ロイターが“ランサムウェアの可能性”を速報、国際面トップに掲載。 reuters.com

• 13:00：公式声明を更新。「ゲストトラベル影響なし。順次復旧を進行中」と明記。 newsroom.hawaiianairlines.com

• 6月27日：The RecordやBleeping Computerが続報を配信、専門家コメントが相次ぐ。 therecord.mediableepingcomputer.com
  
  

3. 影響範囲――“運航無傷”の舞台裏

　表面上は平静だったが、実際には予約・ロイヤリティ管理、貨物管理、社内メールなど約15系統が段階的に遮断された。バックアップ回線を含む運航データリンクは別セグメントに置かれていたため、機材スケジュールやフライトプラン生成は継続。しかし旅客は「モバイルアプリにログインできない」「Webチェックインに数十秒のラグ」といった不便を報告。「チェックインカウンターで紙の搭乗券を発券されたのはコロナ直後以来」というX投稿も拡散された。 reuters.combleepingcomputer.com

4. 浮かび上がる“ランサムの影”と犯行手口

　専門家が着目したのは公式文中の**“orderly restoration（秩序立った復旧）”という語。これはランサム被害企業が鍵復号のプロセスを示すときにしばしば使われる表現だ。APT調査会社Malcoreのレポートによれば、2025年に航空・運輸を狙った主要ランサム集団はLockBit残党“Tau Group”と新興“PacificJackal”の2つで、どちらも“拠点サーバーがアジア太平洋”との共通項がある。今回のハワイアン航空事件では暗号化された痕跡が未確認**で、代わりに「認証情報を盗み出し、脅迫メールでビットコインを要求する“二重脅迫”型」が取り沙汰されている。 therecord.media

5. アラスカ航空との統合期に起きた試練

　2024年9月に成立したアラスカ航空グループによる19億ドル買収からわずか9か月。ハワイアン航空は組織再編とシステム統合のまっただ中だった。親会社ALK株は事件報道後に一時4.2％下落、年初来マイナス25％を深掘りしたが、同日の投資家向け説明会では「M&Aシナジーを前倒しする投資は計画どおり」と強調。市場アナリストは「統合作業中のアイデンティティ統合（IDaaS）遅延が攻撃面を広げた」と指摘する。 investopedia.com

6. ハワイ経済と観光業への波紋

　ハワイ州観光局（HTA）は2024年に観光客1,030万人、総支出210億ドルを記録。特にハワイアン航空は州内路線シェア約65％を握る。アラモアナのツアーデスク担当者は「“飛ぶかどうか”の不安が消費マインドを冷やす。1日遅延すれば州全体で約1,800万ドルの経済損失」と試算する。一方、HTAは「運航が続く限り実損は最小」とコメントし、現時点でキャンセル率の急増は確認されていない。

7. SNSの声――揺れるAloha Spirit

• 「空港Wi-Fiからサイトに入れず💦でもゲートは平和。スタッフにMahalo!」（@honolulu_runner）

• 「予約変更しようと電話したら“予想待ち時間120分”😂 でもフライトはon-time」（r/Hawaii） reddit.com

• 「昨年のWestJetとデジャブ。航空各社はZero Trust急げ⛑️」（r/InfoSecNews） reddit.com
  　肯定的な投稿が約60％を占め、“現場スタッフへのねぎらい”が多数派。一方で「個人情報流出」を懸念する声も30％に達し、同社FAQページの閲覧数は通常の15倍に跳ね上がった。

8. 専門家の視点――航空サイバー防衛の課題

　米FAAは2023年に「航空機運航会社サイバー安全勧告AC-325」を改訂し、SOCの24h体制義務化とSBOM（ソフト部品表）提出を求めた。しかし実装率は全米トップ10社でも72％止まり。カーネギーメロン大CERTのアナリスト、ミラ・カワムラ氏は「レガシーな予約システムと新興クラウドAPIを“急ぎ足で繋ぐ”統合期こそ最大の盲点」と警告する。 therecord.media

9. 危機管理とレピュテーション

　同社は2019年の737 MAX運航停止時、SNS対応の迅速さで“ブランド好感度ランク5位”に急浮上した実績がある。今回は発表から2時間以内に多言語FAQを設置し、PR専門家から「手本」と評価を得た。だが、使用した広報担当のGmailアドレスが「セキュリティ文化に疑問符」を招き、海外メディアで話題となったのは誤算だった。 reuters.com

10. 今後のシナリオ――“アロハ”を守るために

　ハワイアン航空は60日以内に第三者監査報告書を公表予定。焦点は

1. 流出データの有無と範囲

2. ID管理統合ロードマップの前倒し

3. 島嶼インフラを含むBCP（事業継続計画）の再評価
   　国内外の航空各社はこのレポートを“教訓の羅針盤”として注目するだろう。ハワイの空にかかる虹のように、危機を越えて鮮やかなAloha Spiritを取り戻せるか――その答えは、復旧プロセスと今後数か月の透明性に委ねられている。