Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

マリオット2度目のデータ漏えい

不正アクセス事件 海外事件 調べてみた。

マリオット・インターナショナルが2年間で2度目のデータ侵害を発表しました。前回は買収したスターウッドのシステム侵害でしたが、今回は統合されたシステムが狙われた様です。

japan.zdnet.com

 

大手ホテルチェーンのMarriott Internationalは米国時間3月31日、氏名、メールアドレス、ロイヤルティプログラムの会員番号などを含む顧客の個人情報が漏えいした可能性があると発表した。今回のインシデントでは、推定520万件の個人情報が流出した恐れがある。同社は、2年弱前にも大規模なセキュリティインシデントを起こしている。

 Marriottによれば、2月末に、あるフランチャイズホテルの従業員2人のログイン情報を使用して「想定外の量」の顧客情報にアクセスされていた可能性があることが明らかになったという。漏えいした情報には、氏名、住所、電子メールアドレス、電話番号、誕生日、ロイヤルティプログラムのアカウントの詳細、部屋の好みなどが含まれる可能性がある。

 調査はまだ完了していないが、現時点ではクレジットカード番号やパスポートに関する情報、運転免許証に関する情報は漏えいしていないとみられている。

ZDnet記事より引用)

 

 

公式発表(3/31)

 

 

キタきつねの所感

マリオットは2018年11月に、2016年に買収したスターウッド(Westin等)のシステムが侵害を受け最大5億件(※後に3億8300万件の宿泊情報、500万件のパスポート情報と訂正されている)の顧客情報が漏えいした可能性がある事を発表しましたが、今回はマリオットのリワード会員プログラムである「Marriott Bonvoy」の会員データが最大520万件侵害を受けたと発表されています。

 

漏えいしたデータは、Marriott Bonvoyの会員登録に使われたデータのみで、カード情報、パスポート情報、国民ID、運転免許証等の更に機微な情報は対象外の様です。

  • 連絡先の詳細(例:名前、住所、電子メールアドレス、電話番号)
  • ポイントプログラムのアカウント情報(例:アカウント番号とポイントの残高、パスワードは除く)
  • 追加の個人情報(会社、性別、誕生日の月日など)
  • パートナーシップと提携(リンクされた航空会社のロイヤルティプログラムと番号など)
  • 好み(例:滞在/部屋の好み、言語の好み)
(公式発表より引用)※機械翻訳

 

 

侵害を受けた侵入ポイントについて、フォレンジック調査中でもあるからか、公式発表にはあまり詳しく書かれていません。

  • 侵害開始は2020年1月中旬
  • フランチャイズ(ホテル)の従業員2名のアカウントが侵害された
  • 2020年2月末に、予期しない量のゲスト情報にアクセスされた可能性がある事をマリオットが認識
  • 発見時に当該ログイン資格情報が無効になっている事を確認

程度です。

 

この情報の中で、まず目につくのが1月中旬にデータ侵害が開始されてマリオット側が気づくまでに1か月以上かかっている部分が気になります。APT攻撃の場合、仕方が無い部分はあろうかと思います。

しかし今回の侵害では、2アカウントからの異常な情報閲覧リクエストが記録されていた様ですので、使用していたツールあるいは、その閾値がどの程度だったのかは分かりませんが、検知がもう少し早くできた可能性を感じます。

 

更に気になるのが、事件発見時(マリオットなのか、フランチャイズホテルなのか不明)に既に、当該アカウントが無効化になっていたという記述にも違和感があります。攻撃側が証拠隠滅の為に消したのだとすれば、正規ユーザ(フランチャイズホテル)がアクセス出来なくて気づくのでは?と思います。

仮にフランチャイズホテル側が無効化していたのだとすると、フォレンジック調査を考えた際に、正しい処理だったのかという点が気になる所です。

フォレンジック専門家指導の下での処理でないと、場合によっては取れたはずの証跡が無くなる可能性が考えられます

 

もう1点、最大漏えい件数が約520万件と言われていますので、Webからのアクセスというよりかは、不正ツールでの機械的なアクセスによる侵害であった可能性が高いかと思います。

しかし、別な海外記事を見ると、どうやらマリオットは漏えいした疑いのある会員(ユーザ)のパスワードをリセットし、多要素認証に誘導しています。

ホテルの巨人は、Bonvoy忠誠クラブのメンバーに対してもパスワードのリセットを強制しており、メンバーはアカウントで多要素認証を有効にするように求められます

Threat Post記事より引用)※機械翻訳

 

ここに違和感があります。

今回の事件は、フランチャイズの特権(会員閲覧権限)が侵害された事から発生していると見られるので、管理者ではなくユーザ側に多要素認証を求めたとしても、同様な特権ID侵害があった場合には、同様に個人情報は漏えいしてしまうのではないでしょうか。

この対策は、全体的なセキュリティを向上させる為(パスワードリスト対策)には有効だと思いますが、事件の脆弱性に対しては、特権IDに対して認証を強化する事の方が有効なのではないでしょうか?

特権ID(フランチャイズの特権アクセス)に対して、FIDOの様な生体認証が用いられて、多要素認証が行われていたとすれば、アカウントが侵害されたとしても、恐らく侵害までは至らなかったと思います。

 

マリオット程の巨大チェーンでも侵害を受けた事から考えると、前回のマリオットが買収したスターウッドのシステム侵害と同様に、国の支援があるハッカー集団によるAPT攻撃だった可能性が高いかと思いますが、2度目の大型漏えい事件という事を考えると、もう少し出来た部分があるのではないでしょうか。

 

余談です。(事件とは関係ないと思いますが)マリオットのフランチャイズという意味では、森トラストもフランチャイズ権を2017年に得ていた様です。

 

 

参考:

マリオットが1億ドル訴えられる - Fox on Security

マリオットホテルの事件の4Qコストは31億円 - Fox on Security

 

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

 

 高層ホテルのイラスト

 

 

更新履歴

  • 2020年4月4日 PM(予約投稿)