三越以上に(主に海外で)ライオンの像で有名なMGMリゾーツホテル宿泊者の個人情報がハッカーフォーラムで公開された様です。
www.zdnet.com
MGMリゾーツホテルに宿泊した1,060万人以上のユーザーの個人情報が、今週ハッキングフォーラムで公開されました。
(中略)
分析によると、今日共有されたMGMデータダンプには、10,683,188人の元ホテル宿泊客の個人情報が含まれています。
漏えいしたファイルには、氏名、自宅の住所、電話番号、電子メール、生年月日などの個人情報が含まれています。
(中略)
MGMの広報担当者は、今週オンラインで共有されたデータは、昨年発生したセキュリティインシデントに由来するとZDNetに語りました。
「昨年の夏、私たちはMGMリゾーツの特定の以前のゲストのための限られた量の情報を含むクラウドサーバーへの不正アクセスを発見しました」とMGMはZDNetに語りました。
「この問題に金融、支払いカード、またはパスワードのデータが関与していないと確信しています。」
(ZDnet記事より引用)※機械翻訳
キタきつねの所感
有名ホテル(チェーン)からの個人情報漏えい事件では、マリオット(正確にはマリオットか買収したスターウッド)からの情報漏えいが約5億人である事を考えると、今回の漏えい規模は小さい様に思えますが、有名なホテルからの漏えい事件と言う事で、海外でも多くの関心を集めています。
マリオットが1億ドル訴えられる - Fox on Security
マリオットホテルの事件の4Qコストは31億円 - Fox on Security
漏えい情報が掲載された場所については、ZDnetもハッキングフォーラム(DarkWeb)としか情報を書いていませんので、実データを確認はできませんが、記事に掲載された写真のダンプデータを見る限り、ホテルの宿泊者DBそのものが侵害を受けた事がよくわかります。
MGMと言えば、ラスベガスの一等地にホテルを構え、高級ホテルとしても有名です。今回漏えいしたデータには、
リークされたファイルには、定期的な観光客や旅行者の詳細に加えて、有名人、ハイテクCEO、レポーター、政府関係者、世界最大のハイテク企業の従業員の個人および連絡先の詳細も含まれています。
(ZDnet記事より引用)※機械翻訳
と、より機微なカード情報、パスポート情報等は入ってない様ですが、電話番号、住所、電子メール、生年月日などが含まれている為、これらのデータを使った2次攻撃(標的型メール、SIM不正交換、SNS乗っ取り、icloud等のプライベートデータ侵害、BEC等の詐欺・・)が懸念されます。
世界的に著名なホテルですので、当然の事ながら一定以上のセキュリティ対策は取っていたと思います。それでもクラウドのデータが侵害された、この事実を考えると、従来以上に、クラウドで保管している機微データに対する多層防御、あるいは定期的な脆弱性(侵入)テスト実施が必要である事を示唆しています。
このデータ侵害について、ZDNetは、Zynga等10億を超えるユーザデータのハッキングに関与したと言われるGnosticPlayersのメンバーが関与したと推測しています。このグループが直接関与しないとしても、販売された個人情報が別な事件を引き起こす可能性は十分にあると言えます。
日本のホテルも東京五輪に向けて、多くの海外VIPが訪日される(はず)事になるかと思いますが、宿泊客の個人情報に対するセキュリティ体制を、今一度考えてみる必要があるかも知れません。
余談ですが、MGMの「対策案」を書いておきます。ネットワーク周りの強化、どこのホテルも対策している事だとは思いますが、改めてその重要性が分かります。
「MGMリゾーツでは、ゲストデータを保護する責任を非常に重視しており、ネットワークのセキュリティを強化および深化して、これが再び発生するのを防ぎます」と同社は言いました。
(ZDnet記事より引用)※機械翻訳
本日もご来訪ありがとうございました。
Thank you for your visit. Let me know your thoughts in the comments.
更新履歴