Data Breach | SEO-LPO.net

マリオットホテルが再度のデータ漏洩で520万人分の顧客記録を流出

世界的なホテル大手のマリオット（Marriott）は、データ漏洩があったことを認めた。この3年間で2回目だ。今回は520万人分のゲストの個人情報が含まれていたという。

画像クレジット：Roberto Machado Noa/Getty Images

米国時間3月31日、マリオットはフランチャイズのホテルで、2月下旬に不特定の管理システムへの侵入を発見したと発表した。ホテルの声明によると、ハッカーは2人の従業員のログイン情報を入手し、発見の数週間前となる1月中旬に侵入していたという。

マリオットは支払いに関するデータが盗まれたと考える「理由がない」としているが、氏名、住所、電話番号、登録メンバーデータ、生年月日、その他の旅行に関する情報が盗まれたと警告している。その中には、顧客が利用する航空会社の会員番号や、部屋の好みの情報などが含まれる。

マリオットの子会社のStarwood（スターウッド）は、2018年に中央予約システムがハッキングされ、3億8300万人分の顧客記録と個人情報が流失したと発表した。その中には、500万件の暗号化されていないパスポート番号と、800万件のクレジットカード記録が含まれていた。

そのときにはヨーロッパ当局が迅速に反応し、マリオットに対して1億2300万ドル（約132億円）の罰金を科していた。

関連記事：データ流出のマリオットホテルに英当局が罰金134億円を科す見込み

［原文へ］

（翻訳：Fumihiko Shibata）

オーディオストリーミングのMixcloudから2000万人以上のユーザーデータが漏洩

英国のオーディオストリーミングプラットホームのMixcloudが不正アクセスにより2000万のユーザーアカウントを流出させ、データが闇サイトで売りに出された。闇サイトの売り手はデータの一部をTechCrunchに見せ「本物であることを確認しろ」と伝えてきた。事件が起きたのは11月の初めだ。

データにはユーザー名とメールアドレスとパスワードが含まれていたが、パスワードはSHA-2のアルゴリズムで暗号化されていて解読はほとんど不可能だ。データにはそのほか、ユーザーの登録日付時刻と最前のログイン日付時刻、登録した場所の国名、IPアドレス、プロフィールの写真のリンクが含まれていた。

TechCrunchでは、データの一部のメールアドレスを同サイトのユーザー登録機能を使って調べた結果、本物であることを確認した。盗まれたデータの総量はわかっていない。その売り手によると2000万件というが、闇サイト上では2100万と書かれている。しかしTechCrunchが調べたデータからは、2200万に達するとも思われる。データは4000ドルないし約0.5ビットコインで売られている。その闇サイトのリンクをここに載せるのは控える。

Mixcloudは昨年、メディアを対象する投資企業であるWndrCoから1150万ドルを調達した。その投資ラウンドはハリウッドのメディア事業者であるJeffrey Katzenberg（ジェフリー・カッツェンバーグ）氏がリードした。

このところ著名企業の不正アクセスが相次いでいるが、これはその中でも最新の事件だ。盗んだデータを売っているのは同じ闇サイトで、スニーカーや衣料品のオンラインストアであるStockXへの不正アクセスについてもTechCrunchに警告してきた。StockXは当初、システムアップデートのための全顧客のパスワードリセットしたと表明していたが、その後ハッキングされたことを認めて400万件あまりのデータが流出したことを明らかにした。TechCrunchは盗まれたデータの一部を入手した。

Mixcloudのプレス用メールアドレスへ問い合わせたが、メールは宛先不明で戻ってきた。同社のPR代理店に問い合わせたところ、すでにMixcloudとは契約していないとのことだった。MixcloudのスポークスパーソンであるLisa Roolant（リサ・ルーラント）氏はコメントを差し控えた。

ロンドンの企業なので、Mixcloudは英国とヨーロッパのデータ保護規則に従う。ヨーロッパのGDPRの規則に違反すると、年商の最大4%を罰金として払わなければならない。

[原文へ]

（翻訳：iwatani、a.k.a. hiwa）

Slackが2015年のデータ侵害に遭ったユーザーのパスワードをリセットする

Slackが、4年前のデータ侵害で被害したと思われるユーザーのパスワードをリセットする。

同社によると、2015年にハッカーがユーザープロフィールのデータベースに不法アクセスし、その中には暗号化されたパスワードも含まれていた。しかしそのハッカーは、当時ユーザーが入力した平文のパスワードを取り出すコードを挿入した。

Slackによると、最近バグバウンティ(バグ発見報奨金制度)でコンタクトしてきた何者かが、盗んだSlackアカウントのパスワードのリストなるものを、ちらつかせてきた。同社は、それが2015年のデータ侵害と関係あるかもしれない、と考えた。

Slackによると、現在のSlackユーザーのほぼ99%は2015年の3月以降に参加したユーザー、またはその後パスワードを変えたユーザーなので、この件とは無関係である。

また、同社のネットワークを使ってシングルサインオンを要するアカウントも、無関係である。

さらに同社によると、それらのアカウントが盗まれたと信ずる理由はないけど、盗まれなかったとする証拠を提供することもできない。

Slackによると、データ侵害の被害を受けたアカウントは、2015年のアカウントの1%である。米国時間 7 月 18 日朝の記事によると、その数は6万5000アカウントにのぼるかもしれない。この件に関してSlackのスポークスパーソンは、コメントも数の確認もくれなかった。

Slackは最近ニューヨーク証券取引所に上場し、時価総額は約157億ドルである。

関連記事：NYSE に上場する Slack の IPO 価格は 26 ドルに

[原文へ]

（翻訳：iwatani.a.k.a. hiwa）

Quoraのユーザー1億人のデータがセキュリティ侵害により遺漏の可能性あり

Quoraによると、セキュリティ侵害により約1億のユーザーのデータが漏洩した可能性がある。今日（米国時間12/3）ユーザーに送ったメールとブログ記事で、CEOのAdam D’Angeloが、金曜日（米国時間11/30）に“悪意あるサードパーティ”がQuoraのシステムに不法アクセスした、と言っている。同社のセキュリティチームと“外部のデジタルセキュリティ専門家”たちが目下、その侵害を調べている、という。警察にも、すでに通報している。

同社は、侵害の根本原因は見つけた、と信じており、“調査は続行中だが対策を講じたし、今後もセキュリティの改良を続ける”、という。匿名のポストに関しては個人情報を保存しないので、匿名のQ&Aは無事だったそうだ。

同社は現在、データが漏洩したユーザーに通知を送っており、またセキュリティ上の配慮として全ユーザーをログアウトしている。また、現在ユーザーが使っているパスワードは、すべて無効化している。この侵害に関するFAQが、ここにある。

Quoraによると、次のようなユーザーデータがアクセスされた可能性がある:

アカウントとユーザーの情報、すなわち名前、メールアドレス、IP、ユーザーID、暗号化されているパスワード、個人化データ
下書きを含む公開アクションとコンテンツ、すなわち質問、答、コメント、ブログ記事、賛成票(upvotes)
ユーザーが合法的にアクセスしているリンク先のデータ、すなわちコンタクト（連絡先）、住所や性別など層的情報、関心、アクセストークン（現在は無効化）
非公開アクション、すなわち答のリクエスト、反対票(downvotes)、謝辞
非公開コンテンツ、すなわちダイレクトメッセージ、編集提言

同社ヘルプセンターの別記事によると、Quoraは、“いかなるパートナーの財務情報（金銭的情報）も遺漏していないと確信する”、と言っている。同社が決済サービスとして使っているStripeのアクセストークンの一部は“一時的に遺漏した”が、両社の確認によれば、事故以降アクセストークンはまったく使われていないし、財務情報も遺漏していない、という。

Stripeのアカウントのある全ユーザーが、そのアクセストークンをリセットされた。“Stripeからアクセスできる個人の財務情報は遺漏していないと確信する。さらに、いかなる個人的財務情報にも、現在、脆弱性はない”、とQuoraは言っている。

〔以下、Quoraからユーザーに送られた通知の全文:
Dear xxxxxxx xxxxxxx,

We are writing to let you know that we recently discovered that some user data was compromised as a result of unauthorized access to our systems by a malicious third party. We are very sorry for any concern or inconvenience this may cause. We are working rapidly to investigate the situation further and take the appropriate steps to prevent such incidents in the future.

What Happened

On Friday we discovered that some user data was compromised by a third party who gained unauthorized access to our systems. We’re still investigating the precise causes and in addition to the work being conducted by our internal security teams, we have retained a leading digital forensics and security firm to assist us. We have also notified law enforcement officials.

While the investigation is still ongoing, we have already taken steps to contain the incident, and our efforts to protect our users and prevent this type of incident from happening in the future are our top priority as a company.

What information was involved

The following information of yours may have been compromised:

Account and user information, e.g. name, email, IP, user ID, encrypted password, user account settings, personalization data

Public actions and content including drafts, e.g. questions, answers, comments, blog posts, upvotes

Data imported from linked networks when authorized by you, e.g. contacts, demographic information, interests, access tokens (now invalidated)

Non-public actions, e.g. answer requests, downvotes, thanks

Questions and answers that were written anonymously are not affected by this breach as we do not store the identities of people who post anonymous content.

What we are doing

While our investigation continues, we’re taking additional steps to improve our security:

We’re in the process of notifying users whose data has been compromised.
Out of an abundance of caution, we are logging out all Quora users who may have been affected, and, if they use a password as their authentication method, we are invalidating their passwords.
We believe we’ve identified the root cause and taken steps to address the issue, although our investigation is ongoing and we’ll continue to make security improvements.

We will continue to work both internally and with our outside experts to gain a full understanding of what happened and take any further action as needed.

What you can do

We’ve included more detailed information about more specific questions you may have in our help center, which you can find here.

While the passwords were encrypted (hashed with a salt that varies for each user), it is generally a best practice not to reuse the same password across multiple services, and we recommend that people change their passwords if they are doing so.

Conclusion

It is our responsibility to make sure things like this don’t happen, and we failed to meet that responsibility. We recognize that in order to maintain user trust, we need to work very hard to make sure this does not happen again. There’s little hope of sharing and growing the world’s knowledge if those doing so cannot feel safe and secure, and cannot trust that their information will remain private. We are continuing to work very hard to remedy the situation, and we hope over time to prove that we are worthy of your trust.

The Quora Team

〕

[原文へ]
（翻訳：iwatani(a.k.a. hiwa）

FirefoxブラウザーにWebサイトの侵犯通知機能が加わる、開示義務により侵犯情報の最新化も期待

MozillaのWebブラウザーFirefox Quantum*に、新しいセキュリティ機能が加わる。それは、最近データ侵犯が報告されたWebサイトを訪ねようとすると、ユーザーに警告する機能だ。〔*: 2017年のv57以降の設計が一新されたFirefoxブラウザーを、開発者のMozillaがFirefox Quantumと呼んでいる。〕

Firefoxのユーザーが最近侵犯されたWebサイトを開くと、通知のポップアップが表れて侵犯の詳細を告げ、ユーザーの情報が漏洩しなかったかチェックするよう勧められる。

Mozillaの発表によると、“このようなプライバシーとセキュリティに関する機能へのユーザーの関心が高まっているので、Firefoxのユーザーにこの通知警告機能を提供することになった。この新しい機能は、今後数週間で、Firefoxの全ユーザーに展開される”、とある。

侵犯を通知するポップアップとその上の情報は、こんな感じだ:

FirefoxのWebサイト侵犯通知機能, 画像提供: Mozilla

Mozillaはこの、サイトの侵犯通知機能を、今年初めにローンチしたメールアカウントの侵犯通知サービスFirefox Monitorに統合しようとしている。今日（米国時間11/14）の発表によると、それは26の言語で利用できる。

Firefoxのユーザーが、サイトの侵犯を告げるポップアップが出たときクリックしてMonitorへ行けば、メールアカウントの侵犯についても知ることができる。

Firefox MonitorでMozillaは、侵犯されたWebサイトのリストを、パートナーであるTroy Huntの先駆的な侵犯通知サービスHave I Been Pwnedから得ている。

ユーザーをあまりにも多くの情報でうんざりさせないために、Mozillaは侵犯の通知を一サイトにつき過去1年に起きたもの一つに限定している。〔全部知りたければFirefox MonitorやHave I Been Pwnedを使えばよい。〕

データ侵犯はデジタル生活の不運な定番で、最近はビッグデータサービスの登場により、増加傾向にある。そして、人びとの関心も高まっている。ヨーロッパでは5月に導入された厳しい法律により、侵犯の普遍的な開示義務と、データ保護の失敗や怠慢に対する罰則が制定された。

そのGDPRフレームワークは、データをコントロールしたり処理したりする者たちにセキュリティシステムの改良を勧奨するために、彼らにはさらに重い罰を課している。

法律や罰則の強化によってセキュリティへの投資が増えたとしても、それが実際に侵犯の減少として効果が実っていくためには、時間がかかるだろう。どれだけ法が、その効果を期待していたとしても。

でもGDPRの初期の功績のひとつは、企業に侵犯の開示を義務付けたことだ。そのため今後は、このようなセキュリティツールが利用する侵犯情報も、より多く、そしてより最新のものになるだろう。一般ユーザーのためにも、この法律はポジティブな効果を上げているようだ。

[原文へ]
（翻訳：iwatani(a.k.a. hiwa）

米信用情報サービスEquifaxのデータ漏洩、被害者は最大1.43億人に

今やデータ漏洩は日常茶飯事で、感覚が麻痺してしまいがちだが、今日（米国時間9/7）消費者信用情報サービスのEquifaxが発表した事態はただごとではない。最大1億4300万人のデータが漏洩したおそれがある。これはまずい。

悪党どもにとってこの種のデータは情報の宝の山であり、そこには社会保障番号、誕生日、住所、さらには運転免許証番号が入っているものもある。これだけでは不足だと言うのか、20万9000人のクレジットカード情報と18万2000人の消費者を特定できる情報を含む証拠書類も流出した。

流出情報の出所は主に米国在住者だが、英国およびカナダの住民も関わっており、同社はそれぞれの当局と協力して調査を進めている。

Equifaxの報告によると、漏洩に気づいたのは7月29日で、すぐに侵入を防ぐ措置を行った。その後サイバーセキュリティ会社に依頼して漏洩範囲と被害状況を確認した。警察も介入していると同社は伝えているが、犯人がどうやってシステムに侵入し何を奪ったのか、現時点では明らかになっていない

同社は専用ウェブサイト、www.equifaxsecurity2017.comを立ち上げ、消費者が漏洩の有無や範囲を調べられるようにしている。こうした事件の後にはよくあることだが、Equifaxは信用情報モニタリングや個人情報盗難保護などのサービスを無料提供しているので、影響を受けた人は利用するのもよいだろう。

これは純粋な数値でいえば、史上最悪の事件ではない。その汚名は今やOath（TechCrunchの親会社Verizonに買収された）傘下となったYahooに帰する。昨年同社は 10億人以上のユーザーを巻き込む漏洩事件を起こした。

しかし、今回の事件が特に厄介なのは、Equifaxが信用情報サービスであり、消費者の生活、クレジットカード、信用度などの履歴を追跡していることだ ―― そしてこの個人情報の金鉱がブラックマーケットに渡る恐れがある。

[原文へ]

（翻訳：Nob Takahashi / facebook ）

T-Mobileの顧客情報1500万件が漏洩

T-Mobileが木曜日（米国時間10/1）に発表したところによると、同社顧客の個人情報1500万件が盗まれた。同携帯通信会社の信用調査を受け持つExperianという会社がハックされたためだ。

この侵入によって、9月1日から15日の間に新機種購入のために信用調査を必要とした新規入会者が影響を受ける。Experianによると、この侵入による消費者信用データベースへの影響はない。

ハッカーは暗号化された情報を入手しており、その中には社会保障番号、運転免許証番号およびパスポート情報が入っている。名前と住所も含まれるが銀行情報や支払いカード番号は盗まれていない。

「このデータ侵略には大きな怒りを覚えており、Experianとの関係を徹底的に見直すつもりだが、たった今最も重要であり最優先すべきなのは影響を受けた顧客の支援だ」とT-Mobile CEO John Legereはブログに書いた。「私は当社顧客および見込み顧客のプライバシーを〈極めて〉深刻に捉えている。これはわれわれにとって小さな問題ではない」。

2013年後半に起きたTargetストア顧客財務情報大量流出以来、数週間おきに主要なハック事件が起きている。Home Depotから保険会社のAnthemから人事局に至るまで、安全な分野はない。

Experianによると、同社は侵入を発見した直後に、影響を受けた可能性のある顧客に通知し、サーバーの安全を確認した上で調査を開始すると共に当局に通報した。さらに同社は顧客に対して個人認証サービスを2年間無料で提供する。

全体的に見て、Exeprianはハッキングが起きた後にすべきことをすべて行っている。この事件は、企業が侵入を未然に防ぐためにはさらに努力が必要であることを改めて強調した。

T-MobileとExperianの両社は、被害にあったと思われる人々に対して、事件の関係者を装う者に個人情報を知らせないよう警告している。財務情報は被害にあっていないため、影響を受けた顧客が銀行口座やクレジットカードを停止する必要はない。なりすまし犯罪のリスクは高まっている。

Experianは、現時点で犯人の目星はついていないが、当局と協力していると話した。

[原文へ]

（翻訳：Nob Takahashi / facebook）