Frontier Airlinesに重大な情報漏えいの恐れ——搭乗券一目で全乗客の個人情報が抜けるとリサーチャーが指摘

米格安航空会社Frontier AirlinesのWebサイトとモバイルAPIに、搭乗券の6桁PNRと姓だけで全乗客の個人情報が抜き取れる重大な脆弱性が残っていると、リサーチャーのBob氏が主張しています。Tom's Hardwareは、クレジットカード番号のうち先頭6桁・末尾4桁・名義・有効期限が露出している状況では中間5桁の推測は容易であり、最終的にはCVVだけがセキュリティの拠り所になる状態だと解説しています。Bob氏は約3か月前にFrontierへ通報し、標準的な90日開示手順を踏んだうえで公表に踏み切ったとされ、住所・パスポート全文・TSA PreCheckコード・クレジットカード情報の大半までもが対象だと伝えられています。同社は一度修正を試みたものの、致命的な穴は依然として塞がれていないとBob氏は述べていると報じられています。

搭乗券のPNRと姓だけで全乗客情報が抜けるとの主張

Bob氏は約3か月前、Frontier AirlinesのAPIとWebサイトに深刻な脆弱性を発見したと自身のブログで公表しました。当初の手口はきわめて単純で、搭乗券に印字されているPNR（予約コード、6桁）を読み取り、Frontierのモバイル APIエンドポイントに投げ込むだけだったとされています。PNRはバーコードとしてもエンコードされており、スマートフォンで一瞬スキャンするだけで取得可能だとTom's Hardwareは伝えています。

Bob氏がFrontierに通報した後、同社は初期の修正を施し、前述の情報取得には搭乗券に印字されている乗客の姓（last name）も必要になったとされています。ただし、姓も搭乗券そのものに印字されているため、攻撃の前提条件は実質的にほとんど変わっていないとTom's Hardwareは指摘しています。

返ってくる情報の範囲は次のとおりだと報告されています。

自宅住所・メールアドレス・電話番号
生年月日（フル）
パスポートの全データ
クレジットカード番号の先頭6桁と末尾4桁、カード名義、有効期限
支払い履歴
TSA PreCheckコード（Known Traveler Number）

クレジットカードについては、中間5桁とCVVのみが秘匿されている状態で、Tom's Hardwareは、この条件下では中間5桁の推測は容易であり、最終的にはカード裏面のCVVだけが唯一の防御線として残ると解説しています。さらに、PNRは6桁しかないため総当たり的に試行することも理論上は容易で、Bob氏自身も複数の乗客情報を実際に引き出せたと主張しています。

「修正」のはずが情報をさらに露出？——管理ページ側の問題

Bob氏の調査によれば、問題はモバイルAPIにとどまらないとされています。Frontierの予約管理ページ（"Manage My Booking"および"Passengers / Edit"）も、PNRと姓だけでアクセスできるうえ、表示上はマスクされていても、ソースコードやAPIリクエストの中に個人情報がそのまま含まれているとBob氏は述べていると報じられています。

"Manage My Booking"ページ: ソースコード内に氏名・メール・電話番号が露出
"Passengers / Edit"ページ: 氏名・国（country）・生年月日・パスポート全情報・TSA PreCheck番号が露出

皮肉なことに、Frontierが前者の問題に対して施した修正は、修正前よりも多くの情報を露わにする結果になったとTom's Hardwareは報じています。Bob氏はこの状況を、機微情報を扱うページでは必要最小限のデータのみを取得・表示するという「データ最小化の原則」に反していると評価していると伝えられています。

模型飛行機が届いた後、対応は揺れた——開示90日間の経緯

Bob氏は標準的な90日開示手順に沿って、3月3日にFrontierへ初回通報を行い、3月9日にフォローアップを送ったと報告されています。Frontier側はそのうち一つの脆弱性を修正し、Bob氏に模型飛行機を送ったとTom's Hardwareは伝えています。その後、追加の情報露出問題についてBob氏が報告を続け、補償に関する協議も始まったものの、Frontierの対応は揺れ動いた（flip-flopped）とBob氏は述べていると報じられています。

ただし、本件は現時点では一人のリサーチャー（Bob氏）の主張に基づく非公式の情報であり、Frontier Airlinesによる公式コメントは現時点で確認されていません。Bob氏はTom's Hardwareを介して「Frontierの乗客はもっと良い扱いを受けるに値する（deserve better）」と述べており、致命的な脆弱性は依然として稼働中だと主張しています。

パスポートとPreCheckが漏れる——なりすまし空港通過のリスク

仮にBob氏の主張どおりであれば、想定されるリスクは深刻だとTom's Hardwareは報じています。住所・生年月日・パスポート・クレジットカード情報の大半が取得できるため、なりすまし（identity theft）、ストーキング、各種金融詐欺の素材として悪用される可能性があるとされています。特にTSA PreCheckコード（Known Traveler Number）が漏えいすると、本人になりすまして空港のセキュリティチェックを通過される恐れがあるため、航空業界全体にとって看過できない懸念だとTom's Hardwareは伝えています。

また、搭乗券は出張・旅行中に他人の目に触れる機会が多く、SNS投稿や搭乗待ちの座席など、PNRと姓を肉眼で確認できる状況は珍しくありません。脆弱性が事実であれば、攻撃の前提条件は極めて低いということになります。

業界全体に通じる構造問題——Amadeus事案との既視感

PNRと姓の組み合わせだけで予約情報を引き出せるという構造は、Frontier単独の問題ではなく、航空業界に長く残ってきた設計上の弱点だと指摘されています。2019年にはセキュリティリサーチャーのNoam Rotem氏が、世界最大級の予約システムを提供するAmadeusにIDOR（Insecure Direct Object Reference）脆弱性を発見し、国際線航空会社の約44％にあたる141社が影響を受けたと報じられています。

認証要素として6桁の英数字PNRと姓のみが利用されている
PNRが平文で送受信され、中間者攻撃に晒されやすい
利用者自身が搭乗券画像をSNSに投稿し、PNRと姓を自ら露出させる例も多い

Rotem氏のケースでも「6桁PNR＋姓」というFrontier事案と同型の前提が攻撃成立条件になっており、業界共通の弱点が10年近く解消されていないとされています。

技術的背景と開示タイムライン——レガシーIBEと未修正105日

技術面では、Frontierの予約基盤そのものが脆弱性の温床になっているとの証言が出ています。TechSpotが伝えた元Frontier従業員のコメントによれば、同社のIBE（インターネット予約エンジン）は社内ですでに「レガシーコードベース」と扱われ、コードに触れられるほどシニアな技術者が事実上一人しかいなかった状態だったとされています。

項目	内容
初回通報	2026年3月3日
30日開示期限	2026年6月12日
公開	2026年6月16日
未修正期間	105日
該当API	`mtier.flyfrontier.com/bookingssv/GetBookingbyParams`

カード番号の中間5桁についても、TechSpotはLuhnアルゴリズムによる検算で候補が大きく絞り込めると解説しており、BIN・末尾4桁が露出した状態では純粋なブルートフォースよりはるかに少ない試行で復元され得るとしています。該当APIにはレート制限の明示的な言及もなく、自動化された総当たり試行を阻む仕組みが乏しい点も懸念されています。

Q&A

Q. Frontier Airlinesを最近利用したのですが、何をすべきですか？ 本件はリサーチャーの主張段階であり、Frontier Airlinesからの公式コメントは確認されていません。一般的な対策として、搭乗券を撮影してSNSに公開しない、PNRと姓が一緒に見える状態で放置しない、クレジットカードの利用明細をこまめに確認するといった基本動作を徹底するのが妥当です。

Q. 6桁PNRへの総当たりはどの程度現実的ですか？ Bob氏は、PNRが6桁しかないことを利用して総当たり的に試行することも理論上は容易だと主張しており、実際に複数の乗客情報を引き出せたと述べていると報じられています。ただし、Frontier側の正式な見解や、現時点でレート制限・検知の有無については公表されていません。

現時点では、本件は90日開示プロセスを経たうえでリサーチャー側が公表に踏み切った段階の主張であり、続報を待つのが妥当な判断です。Frontier Airlines側の正式な見解、および脆弱性が実際に修正されたかどうかの第三者検証が、今後の重要な確認ポイントになります。