マリオットが1億ドル訴えられる

マリオットホテルが1億ドル集団訴訟で訴えられたという記事が気になりました。

マリオットのホテル帝国からのゲスト情報の大量のデータハックは、カルガリーで1億ドルの集団訴訟を引き起こしました。

女王のベンチカルガリー裁判所に提出された請求書には、ハッカーが5億人もの宿泊客のレコードにアクセスしたというデータ侵害は、チェーンの十分なセキュリティの欠如によるものであると述べています。

カルガリーの弁護士クリント・ドッケン氏とエドモントン弁護士のジェームス・ブラウン氏は、「被告らは自分たちのデータベースが紛失や盗難に対して脆弱であることを知っているか、知っているべきだった」と述べている。

マリオットは、2016年9月にスターウッドホテルズアンドリゾーツワールドワイドLLCを136億ドルで購入した、と同裁判所の文書は言う。

「2014年の間に、StarwoodのWebサイトがSQLインジェクションバグの発生源であり、サイトをハッキングする申し出が暗いWeb上で行われていたという報告がありました。」

（中略）

訴訟は、とりわけ、マリオットは、その顧客を保護するために最新のセキュリティシステムを利用しなかったと主張している。

「被告らは、発生したセキュリティの侵害を検出できず、4年間以上侵害に気付かなかった日付の付いたセキュリティ対策を使用して、注意義務を破った」と述べた。

（CalgarySUN記事より引用）※機械翻訳

◆キタきつねの所感

カナダの集団訴訟で1億ドル請求というのは、セキュリティ対策の不備に対する最悪なケース想定としても、かなりインパクトがあるかも知れません。5億件のデータの中には、確かにカナダの訴訟対象の宿泊客も多いかも知れませんが、アメリカ人が一番多いかと思いますので、もしかするとさらに高額の訴訟を多数抱えてしまうのかも知れません。

個人的には、和解などで落ち着き、1億ドル賠償という形で終わる事は無いと思いますが、下手なホテルチェーンだと、倒産してもおかしくない額です。

訴訟の論旨部分を見ると、マリオットは2016年にスターウッドホテルズ（シェラトン、ウェスティン等）を傘下に収めてから、（スターウッドホテルズ側の）セキュリティ対策を怠ったので、4年も侵害を検知できずに大型インシデントを発生させた、という事に尽きるようです。

改めて時系列上では、

　・2015年　買収発表

　・2016年9月　スターウッドホテルズ買収（旧システムのまま運用）

　　※ハッカーの攻撃を受けていたが検知できず

　・2018年8月　新システムへ統合（旧システム廃止）

　・2018年9月　ハッカーの攻撃を検知（※2014-2018年まで5億件のデータ漏洩が発覚）

　・2018年12月　事件を公表

という感じになります。記事では4年間と言っていますが、DarkWeb上では2014年からスターウッドホテルズの顧客データ販売が行われていた事から、ここを起因としてマリオットに訴訟してきている様です。

スターウッド側（買収先）のセキュリティ不備が訴訟対象になってしまうという意味では、大型買収がある場合、『セキュリティ』というのも重要な買収判断情報となってきた（きてしまった）と言う事ができそうです。

買収側の企業は、買収額算定の条件として事前にセキュリティテストを行うか、買収後すぐにセキュリティテストを実施する、こうした事を考えておかないと経営リスクになりかねない時代になってきた様です。