Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。諸々のお問合せ(取材、執筆、各種お問合せ等)はフォックスエスタ (https://foxestar.hatenablog.com/)をご覧ください。

マリオットが1億ドル訴えられる

マリオットホテルが1億ドル集団訴訟で訴えられたという記事が気になりました。

calgarysun.com

 

マリオットのホテル帝国からのゲスト情報の大量のデータハックは、カルガリーで1億ドルの集団訴訟を引き起こしました。

女王のベンチカルガリー裁判所に提出された請求書には、ハッカーが5億人もの宿泊客のレコードにアクセスしたというデータ侵害は、チェーンの十分なセキュリティの欠如によるものであると述べています。

カルガリーの弁護士クリント・ドッケン氏とエドモントン弁護士のジェームス・ブラウン氏は、「被告らは自分たちのデータベースが紛失や盗難に対して脆弱であることを知っているか、知っているべきだった」と述べている。


マリオットは、2016年9月にスターウッドホテルズアンドリゾーツワールドワイドLLCを136億ドルで購入した、と同裁判所の文書は言う。

「2014年の間に、StarwoodのWebサイトがSQLインジェクションバグの発生源であり、サイトをハッキングする申し出が暗いWeb上で行われていたという報告がありました。」

(中略)

訴訟は、とりわけ、マリオットは、その顧客を保護するために最新のセキュリティシステムを利用しなかったと主張している。

「被告らは、発生したセキュリティの侵害を検出できず4年間以上侵害に気付かなかった日付の付いたセキュリティ対策を使用して、注意義務を破った」と述べた。

(CalgarySUN記事より引用)※機械翻訳

 

 

◆キタきつねの所感

カナダの集団訴訟で1億ドル請求というのは、セキュリティ対策の不備に対する最悪なケース想定としても、かなりインパクトがあるかも知れません。5億件のデータの中には、確かにカナダの訴訟対象の宿泊客も多いかも知れませんが、アメリカ人が一番多いかと思いますので、もしかするとさらに高額の訴訟を多数抱えてしまうのかも知れません。

 

個人的には、和解などで落ち着き、1億ドル賠償という形で終わる事は無いと思いますが、下手なホテルチェーンだと、倒産してもおかしくない額です。

 

訴訟の論旨部分を見ると、マリオットは2016年にスターウッドホテルズ(シェラトンウェスティン等)を傘下に収めてから、(スターウッドホテルズ側の)セキュリティ対策を怠ったので、4年も侵害を検知できずに大型インシデントを発生させた、という事に尽きるようです。

 

改めて時系列上では、

 ・2015年 買収発表

 ・2016年9月 スターウッドホテルズ買収(旧システムのまま運用)

  ※ハッカーの攻撃を受けていたが検知できず

 ・2018年8月 新システムへ統合(旧システム廃止)

 ・2018年9月 ハッカーの攻撃を検知(※2014-2018年まで5億件のデータ漏洩が発覚)

 ・2018年12月 事件を公表

という感じになります。記事では4年間と言っていますが、DarkWeb上では2014年からスターウッドホテルズの顧客データ販売が行われていた事から、ここを起因としてマリオットに訴訟してきている様です。

 

スターウッド側(買収先)のセキュリティ不備が訴訟対象になってしまうという意味では、大型買収がある場合、『セキュリティ』というのも重要な買収判断情報となってきた(きてしまった)と言う事ができそうです。

買収側の企業は、買収額算定の条件として事前にセキュリティテストを行うか、買収後すぐにセキュリティテストを実施する、こうした事を考えておかないと経営リスクになりかねない時代になってきた様です。

アメリカ版のGDPRなどの検討もされてますので、今後日本もセキュリティ不備で訴訟に巻き込まれやすくなりつつあるのも警戒すべきかも知れません。

 

参考:

マリオットホテルの事件の4Qコストは31億円 - Fox on Security

マリオット・インターナショナルが5億件の顧客情報流出 - Fox on Security

 

 

 

 

余談ですが、2017年のウーバーのデータ漏洩事件(隠ぺい)も、ソフトバンク等の第三者割当に影響してしまった記憶があります。

 

ウーバーが5700万人の個人情報を不正流出した事件をまとめてみた(再更新) - Fox on Security

データ漏洩の隠蔽はリスクも大きい - Fox on Security

 

 

f:id:foxcafelate:20190512111328p:plain

更新履歴

  • 2019年5月12日AM(予約投稿)