Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

米MGMリゾーツの顧客データは2度襲われた

米国の高級ホテルチェーン、MGMリゾーツからの情報漏えいは当初考えられていたより被害が大きかった様です。 

forbesjapan.com

 

7月14日のZD Netの記事によると、ハッカーらは先週末から盗み出したファイルの販売を地下フォーラムで開始しており、そこには1億4200万人分の顧客データが収められているという。サイバー犯罪者らはファイルの対価として約3000ドル相当の暗号通貨を求めている模様だ。

MGMリゾーツはZD Netの取材にコメントを寄こし、「当社は既に報道済みの昨年夏の事件について認識しており、適切な対処を行った」と述べた。

データの売り手は、2019年のハッキング事件の全容はまだ報じられていないと述べており、MGMグランドホテルのデータも入手済みだとしている。

(Forbes記事より引用)

 

元ソース(ZDNet 7/14記事)

 

 

キタきつねの所感

MGMリゾーツは今年の2月に1060万件の宿泊者データがDarkWeb市場で販売されていたとニュースに出ました。実際にハッカーの侵害を受けたのは2019年夏だった様ですが、この際、ホテルのクラウドサーバの1つから顧客情報が漏えいしたと見られています。

 

ZDnetの元記事にはDarkWebでの宣伝画像があったので引用すると、

 

f:id:foxcafelate:20200716095441p:plain

ZDnet記事より引用

 

1億4,200万件の販売データが、3,000ドル弱で販売されている事が分かります。

 

また、今回の販売に対する「説明書き部分」を読むと、

 

f:id:foxcafelate:20200716095403p:plain

ZDnet記事より引用

 

MGM Resortsの侵害は、前回ZDnet記事で最初に報じられていた(1,060万件)分だけでなく、MGM Grand Hotelsも含まれていると書かれています。そして、米国のセキュリティ会社Night Lion Securityが提供するデータ漏えいサービス「DataViper」から7月に盗んだものだと書かれています。ハッカー側はDataViperから8,225のDBを3か月かけて盗んだと主張しており、今回のMGM Grand Hotelsはその内の1つだと主張しています。

※Night Lion Security側は上記ハッカーの主張を否定しています。

※Data Viperサービスは、別なZDNet記事によると、セキュリティ企業がDarkWebやハッキングフォーラム、掲示板等をスキャンしてプライベートバックエンド内でハッキングされたDBをコンパイルし、顧客がデータを検索して従業員情報が漏えいしたかを監視できるサービスの様です。

 

この件に関するMGM側のプレスリリースは見つけられませんでしたので、真偽のほどは分かりませんが、記事から推測できるのは以下の様な経緯です。

 ①2019年夏のデータ侵害が発生

 ②その一部(1,060万件)がDarkWebで2月に販売された

 ③1.4億件以上の顧客情報が密かに取引されていた

 ④DataViper社が③の情報を収集していた

 ⑤DataViper社が侵害を受けて、8,225DBが漏えいした →イマココ

 (※その内の1つがMGMデータ)

 

MGM側の広報担当のZDNet記事でのコメントは、

 ①この事件の範囲を認識しており、すでに状況に対処している

 ②データの大部分は、名前、住所、メールアドレスで構成されている

 ③日曜日にハッカーによって新たな2,000万データが共有された

 (MGM側はデータがホテル顧客のものである事を確認した)

 

となっていたので、既にMGM側として新たなデータ漏えい(少なくても2,000万件)が発生している事が事実であり、顧客連絡等の対処を既に開始している事が分かります。

 

最終的な漏えい件数については、ロシアのハッキングフォーラムでは2億件を超えるゲスト情報が販売されているという情報もある様ですが、いずれにせよ、マリオット(5億件)に次ぐ規模の、有名ホテルチェーンからの漏えい事件となる事は間違い無いかと思います。

 

まだ事件の全容が分からない中で書くのはどうかとは思いますが、恐らく、クラウドでの機微情報管理(MGM)、そしてサードパーティ(DataViper)の機微情報管理、について今後、訴訟も含めて厳しく問われる事になる気がします。

 

参考:

foxsecurity.hatenablog.com

 

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

猛獣使いのイラスト(男性)

 

更新履歴

  • 2020年7月16日 AM(予約投稿)