マリオットホテルが再度のデータ漏洩で520万人分の顧客記録を流出

世界的なホテル大手のマリオット(Marriott)は、データ漏洩があったことを認めた。この3年間で2回目だ。今回は520万人分のゲストの個人情報が含まれていたという。

画像クレジット:Roberto Machado Noa/Getty Images

米国時間3月31日、マリオットはフランチャイズのホテルで、2月下旬に不特定の管理システムへの侵入を発見したと発表した。ホテルの声明によると、ハッカーは2人の従業員のログイン情報を入手し、発見の数週間前となる1月中旬に侵入していたという。

マリオットは支払いに関するデータが盗まれたと考える「理由がない」としているが、氏名、住所、電話番号、登録メンバーデータ、生年月日、その他の旅行に関する情報が盗まれたと警告している。その中には、顧客が利用する航空会社の会員番号や、部屋の好みの情報などが含まれる。

マリオットの子会社のStarwood(スターウッド)は、2018年に中央予約システムがハッキングされ、3億8300万人分の顧客記録と個人情報が流失したと発表した。その中には、500万件の暗号化されていないパスポート番号と、800万件のクレジットカード記録が含まれていた。

そのときにはヨーロッパ当局が迅速に反応し、マリオットに対して1億2300万ドル(約132億円)の罰金を科していた。

関連記事:データ流出のマリオットホテルに英当局が罰金134億円を科す見込み

原文へ

(翻訳:Fumihiko Shibata)

マリオットの情報流出、自分が被害者かどうか確認できるようになる

世界最大のホテルチェーン、マリオットはスターウッド・ホテルズの情報流出問題に関し、被害にあっているかどうかを顧客が自分で確かめられるようにする。

マリオットは、“宿泊客が暗号化されないまま流出したパスポート情報の中に自分のものが含まれるか、自分のパスポート番号を調べられるメカニズム”を準備したことをTechCrunchに明らかにした。この措置は、昨年明らかになったデータ流出で500万件ものパスポート番号が暗号化されない状態で盗まれたことを認める先月の発表に続くものだ。

セキュリティ会社OneTrustが提供するチェッカーでは、ユーザーは名前、電子メールアドレス、パスポート番号下6桁といった個人情報を尋ねられる。

マリオットは、昨年9月に明らかにした情報流出で“最大3億8300万人の宿泊客”の名前、住所、電話番号、生年月日、性別、電子メールアドレス、予約情報などを含むデータが盗まれた、としている。その後、暗号化された2000万超のパスポート番号と、860万もの支払いカード情報が盗まれていたことも明らかになった。クレジットカードに関しては盗まれたもののうち情報流出の時点で35万4000のカードが有効だった、と昨年9月に明らかにしている。

市民向けにチェッカーを使えるようにすることは、情報流出以来、この大規模な事件のマリオットの対応の中では前向きなものだ。マリオットは初期対応を誤り、多くのセキュリティ専門家が自腹でギャップを埋めるために介入した。

チェッカーはすぐに結果を表示せず、ユーザーは返事を待つ必要がある。それがどれくらいかかるのか、マリオットは明らかにしていない。自分が情報流出の被害にあっているかどうかを調べるのにサードパーティーに自分のデータを提出しなければならないというのは、ある種皮肉ではある。個人情報を提出するというのは文字通り、情報流出の被害にあった人が最もしたくないことだ。しかし、それが今私たちが暮らす社会であり、そうであるというのは最悪だ。

チェッカーの使用は自己責任で。

イメージクレジット: Getty Images

原文へ 翻訳:Mizoguchi)

米マリオット、スターウッド・ホテルズの顧客5億人の情報流出

スターウッド・ホテルズは顧客5億人超のデータベース情報が流出したと発表した。

ホテル・リゾートの大企業は声明文で、宿泊客データベースへの“認定されていないアクセス”が9月10日、あるいはそれ以前に検出された、と明らかにしたーしかし2014年からアクセスはあったようだ。

「調査のなかで、スターウッドネットワークへの不正なアクセスが2014年からあったことがわかった」と述べている。「また、最近不正の一味が情報をコピーして暗号化し、削除しようと試みていたことも明らかになった」。

情報流出の詳細は不明だ。我々はスターウッドにさらなる情報を求めていて、返事があり次第アップデートする。

マリオットは、11月19日にデータベースを解読し、「コンテンツをスターウッドの宿泊客予約データベースから削除することを決定した」と述べている。

3億2700万人の記録には、氏名、住所、電話番号、生年月日、性別、電子メールアドレス、パスポート番号、スターウッドのポイントプログラム情報(ポイントや残高を含む)、到着・出発日の情報、予約日、好みの連絡手段が含まれる。

スターウッドは、記録にどれくらい暗号化されたクレジットカードのデータが含まれているかはっきりしないが、流出していないデータの解読の必要があるかどうか、その可能性は“除外できていない”としている。

「マリオットはこのインシデントを当局に報告し、調査のサポートを続ける」と声明で述べている。

マリオットが運営するスターウッドは世界最大のホテルチェーンで、 W ホテルズ、セント・レジス、シェラトン、ウェスティン、 エレメントなどを含む11のブランドと1200もの施設を有している。スターウッドブランドのタイムシェア施設も含まれる。

マリオットはスターウッドを2016年に買収していて、マリオット・ホテルズの予約システムは“異なるネットワーク”のため影響は受けないだろう、としている。

マリオットは、顧客ーここには米国、カナダ、英国が含まれるーに情報流出の連絡を開始した。

情報流出は欧州全体で導入されているGDPR規則に該当することを考えたとき、今回の件があてはまればスターウッドは最大でグローバル年間売上の4%という大きな罰金に直面することになるかもしれない。

イメージクレジット: Getty Images

[原文へ]

(翻訳:Mizoguchi)