Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

マリオット・インターナショナルが5億件の顧客情報流出

海外事件 不正アクセス事件

高級ホテルチェーンを数多く抱えるマリオット・インターナショナルが傘下のスターウッド・ホテルズのDBがハッキングを受け約5億件の顧客データを漏洩した可能性があると発表しました。2018年を象徴する漏洩事件となりそうです。

jp.reuters.com

ホテル世界最大手の米マリオット・インターナショナルは30日、「シェラトン」や「リッツ・カールトン」などのホテルを展開する傘下スターウッド・ホテルズの予約データベースがハッカー攻撃を受け、約5億人の顧客の個人情報が流出した可能性があると発表した。

今回の個人情報流出は、2013年に起きたヤフーの30億アカウントの情報流出に次いで、過去2番目の規模となる見通し。

マリオットによると、3億2700万人の顧客については、パスポートや電話番号、電子メールアドレスなどの情報が流出した恐れがある。一部の顧客については、クレジットカード番号が流出した情報に含まれる可能性があるという。

 

マリオットは今年9月、データベースに不正アクセスがあったことを初めて確認。調査を開始したところ、不正アクセスが2014年から始まっていたことが発覚した。

マリオットは2015年11月、スターウッドに買収提案。買収は16年9月に完了したことから、情報流出はマリオットがスターウッドを取得する前から始まっていたことになる。

(ロイター記事より引用)

 

f:id:foxcafelate:20181201073734j:plain 

◆キタきつねの所感

5億件という漏洩の件数から考えると(重複もあるとは思いますが)、個人的な推測となりますが、日本のホテル(日本人)も影響を受けている可能性が高いと思います。

マリオットは130以上の国で、6700以上のホテルを傘下に持ち、日本ではマリオット、シェラトン、リッツカールトン、ウェスティンなど40施設があるようです。
f:id:foxcafelate:20181201061828j:plain

今回影響を受けたとされるのは、2016年にマリオットがスターウッド・ホテルズ&リゾーツを買収したStarwood Preferred Guest (SPG)系のデータベースだったようです。

f:id:foxcafelate:20181201062347j:plain

今年の8月18日には、「マリオット リワード」「ザ・リッツ・カールトン・リワード」「スターウッドプリファードゲスト(SPG)」が統合され、1.1億人以上の会員を有するロイヤリティプログラムになっています。おそらくこの統合過程で、今回の漏洩事件が発覚したという事なのでしょう。

 

事件の時系列を公式発表等からまとめてみると、

 

日時 出来事
2014年
~2018年9月10日		 スターウッドゲスト予約データベースへ不正アクセスを受ける
2016年 マリオットがスターウッド・ホテルズ&リゾーツ(SPG)を買収
2018年8月18日 マリオット・リッツカールトン・スターウッドプリファードゲスト(SPG)の会員プログラムを統合
2018年9月8日 米国内のSPG予約データベースへの不正アクセスを検知
  マリオットが、不審な第三者による情報コピーと削除のアクティビティを発見
2018年11月19日 マリオットが、当該情報がスターウッドゲスト予約データベースのものと確認
2018年11月30日 事件を公表

 

データ侵害を4年間も検知できてなかった中、マリオットは8月に3つのホテルプログラムを統合します。事件発覚が9月8日である事を考えると、統合された際に採用(導入)されたセキュリティツール(不正アクセスを検知する仕組み)が優秀であった事が分かると同時に、統合前のスターウッドゲスト予約データベースにおけるセキュリティ体制が4年も不正侵入に気づけないものであった事が推測できます。

 

漏洩した可能性があるのは、9月10日以前に予約をした顧客、約5億件のデータで、

3億2700万件が、氏名、住所、電話番号、Eメール、パスポート番号、SPG会員番号、生年月日、性別、ホテル予約情報が漏れた可能性があり、その一部は暗号化(AES128)されたクレジットカード番号も影響した可能性があり、

残り(1億7300万件)がEメールとその他の情報といった限定的であったと発表されています。

マリオットとしては、決済情報が悪用されやすいクレジット情報は暗号化されているので事件の影響は少ないと印象づけたいのだと思いますが、漏洩したデータは、つまり高級ホテルに宿泊するゲストのものであり、その価値は30億件のデータ漏洩を起こしたヤフーの顧客データよりも潜在的に高いものです。

済処理のスピードやPCI DSS対応を考えてクレジットカード番号だけを暗号化していたのかも知れませんが、顧客データベースまで侵入されるリスクを考えれば、その他の個人情報も暗号化しておくべきだったのかと思います。

 

見方を変えれば、2014年から9月まで侵入していたハッカーが、5億件にも及ぶデータをDark Web等で販売してこなかったのです。もしこうした宿泊者データが販売されれば、それなりの販売金額になっていたものと思います。

ではハッカーが何故売らなかったのか?と考えると、ハッカーは国家的な支援を受けていた可能性が高い気がします。高級ホテルに宿泊する、例えば米国政府高官の個人情報であったり、「いつから何時までどこのホテルに居た」といった情報ですら、国家規模で人物をウォッチする上では有益になります。ホテルの●●号室に泊まっている事が分かれば、ホテルで政府高官が繋ぐWifiのパスワードを知る事も可能です。(※こうしたホテルでは部屋番号と氏名情報で認証をかけているケースが多い)やり方によってはメール内容の盗聴も可能になりますので、4年間もデータ侵害が発覚しなかった事は、標的型攻撃に有益なデータであったのでハッカーはあえて公開しなかったと考えるべきかも知れません。

 

宿泊者のデータベース・・・推測になりますが、ワールドワイドなホテルチェーンですので、日本のホテルも全世界と共通なシステムを使っている可能性は高いと思います。影響が日本にも及ぶ可能性は高いのではないでしょうか?(日本政府高官も影響を受けた可能性も無いとは言い切れないかも知れません)

 

 

 

高層ホテルのイラスト

 

更新履歴

  • 2018年12月1日AM(予約投稿)