マリオットが5億人分の顧客情報を流出、SPGの予約データベースにハッキング被害

5億人分の顧客情報が流出

マリオットは、5億人分の顧客情報が流出したことを発表した。
(2018年11月30日)

このインシデントに関する公式サイトはコチラ。
Starwood Reservation Database Security Incident

f:id:tonogata:20181204003544p:plain:w400

情報流出したのは、マリオット傘下である「スターウッド」(SPG)の予約データベース。
つまり、SPG系列ホテルに宿泊したことがある人の記録 (非会員を含む)。

そのデータベースについて、不正なアクセスがあり、情報がコピーされたことが判明している。
不正アクセスは2014年から発生しており、事態が発覚する2018年9月まで4年間ほど続いた。

流出した可能性のある情報には、氏名・住所や会員番号、クレジットカードの番号と有効期限、パスポート番号などが含まれる。
クレジットカード番号は暗号化されていたが、復号化に必要なキーも流出した可能性があることをマリオットは認めている。

この流出に関係する範囲は、「2018年9月10日より前に、スターウッド系列のホテルに泊まったことがある人」
「スターウッド系列のホテル」とは、具体的には以下10のホテルブランドとなる。

  • シェラトン
  • ウェスティン
  • セントレジス
  • ラグジュアリーコレクション
  • W
  • ル・メリディアン
  • トリビュートポートフォリオ
  • アロフト
  • エレメント
  • フォーポインツ・バイ・シェラトン


なお、現在も捜査・調査が続いているため、流出した人数や範囲などは、今後また訂正される可能性がある。


流出データの範囲

不正アクセスがあったのは、SPGの宿泊予約データベース。
会員情報データベースではなく、ログイン用のパスワードは流出範囲に入っていない
マリオットによると、現時点で不正ログインやポイントの盗難は確認されていないとのこと。

SPGはマリオット系列のホテルだが、マリオット自体のデータベースは被害を受けていない。
同じくマリオット系列のリッツカールトンについても、同様。
被害を受けたのは、SPGのデータベースのみとなる。

2018年9月10日より前に、SPG系列のホテルに泊まった人の情報が流出した可能性あり。
SPGの宿泊予約データベースには、宿泊者の情報が記録されていた。
含まれていた情報は、以下の通り。

  • 名前
  • 住所
  • 電話番号
  • Eメールアドレス
  • パスポート番号
  • 生年月日
  • 性別
  • 到着及び出発に関する情報
  • 予約日
  • 希望の連絡手段

氏名や電話番号、メルアドはバッチリ網羅されている。
ただし、全ての情報が必ず含まれていたワケではない模様。
(予約時に「本人がどこまで入力したか」にもよるのかもしれない)

また、SPG会員の場合は「SPGのアカウント情報」として、以下も流出した可能性があるとのこと。

  • SPGアカウント番号
  • ポイント残高
  • ステータスレベル

なぜ、「ポイント残高」を予約情報にいれる必要が?

更に、一部の予約情報にはクレジットカードの情報も含まれていた。

  • クレジットカード番号
  • 有効期限

このクレジットカード番号については、少なくとも暗号化はされていた。
ただし復号化に必要なキーもまた、流出した可能性があるとのこと。

なお、「予約データベース」といいつつ、予約レートや部屋情報が含まれないのは、何故なのかは不明。
そうした情報は、また別のデータベースに含まれているのかもしれない。
(もしくは「個人情報じゃない」扱いで、流出情報としては明記されてないだけかも)


リスクをどう考えるか

流出した情報には「SPGのアカウント番号」が含まれるので、念のためにログイン・パスワードを変更した方が良いかもしれない。
パスワードは流出範囲外だが、念のため。

ちなみにSPGはマリオットに買収されて、8月からアカウント統合が始まっている。
アカウント統合の際には「マリオットのID」or「SPGのID」、どちらを継続して使うか選択可能だったワケだが・・・

「SPGのID」を選択した場合は、統合後のIDも・・・
自動的にアレな感じですね。


同様に、メルアドのパスワードも変更しておいた方が良いかも。
特に、流出した情報に含まれる生年月日などを絡めたパスワードにしている場合は、要注意。

念のために、メルアドを「Have I Been Pwned」に登録しておくのも、1つの手かもしれない。
やじり鳥 自分のメールアドレスやパスワードの流出を確認できる「have i been pwned?」

これは自分のメルアドが、ハッカー達によって裏サイトで共有された場合に、お知らせしてくれるWEBサイト。
最近ではFireFoxでも「Have I Been Pwned」が採用されていた。

ちなみに「Have I Been Pwned」の観測範囲においては、現時点で本件の流出データが裏サイトで共有された事実は確認されていない。
ただし、それはあくまで「Have I Been Pwned」の観測範囲における話なので、気休めでしかないんだけど。


「クレジットカード番号と有効期限」については、どうでしょうね。
暗号化はされていたらしいが、復号可能だった可能性もありますし。

一応、3-4桁のセキュリティ・コードがなければ、一般的なサイトでは悪用できないと思うが・・・。
なんとなく、安心はできないですね。

個人的には、面倒なのでカード停止とかまではしないけど。

ちなみに自分は去年、カードの不正利用をされた。
最近だとカード会社の「不正検知システム」で、不正利用を未然防止してくれることもある模様。
やじり鳥 クレジットカードを不正利用された。「不正検知システム」の連絡からカード停止・再発行までの流れ。


流出したのか?してないのか?

マリオットの説明によると、少なくとも情報は「コピーされた」。

情報のコピー及び暗号化が第三者によって不正に行われていたこと、さらに、暗号化した情報の削除を試みた形跡があることも判明しました。
2018年11月19日、当社は暗号化された情報の復号化に成功し、コンテンツはスターウッドゲスト予約データベースからコピーされた情報であることを確認しました。

「コピー及び暗号化」というのは、ハッカーが盗んだ情報をいったん暗号化して、外に持ち出そうとしたという話。

ハッカーは、サーバに侵入して盗んだ情報をサーバ外(ネットワーク外)に出す際に、そのまま外に送ると送信内容の監視装置によって「むむっ、会員情報が外に放出されつつある!」って感じで引っかかる可能性があるので、暗号化して監視装置から中身が分からないようにしてから、外に逃がすらしい。

本件では、その「ハッカーが暗号化したデータ」を、マリオット側が自社サーバ内に見つけたという話。

ハッカーがデータを外に逃がした後かどうかは、不明。
(ハッカーは、形跡を残さないように、データを逃がし終えたら自分が作ったコピー&暗号化データを削除するらしい)

いずれにせよ、その暗号データを復号化すれば、ハッカーが何を盗もうとしていたかが分かる。

そこでマリオット側は、そのハッカーが残した暗号化データを「ハック」した。
そして見事復号化に成功して、「あ、これウチのデータベースじゃん」ということを明らかにした。

ナイス・ハック。

しかし、そもそも、、、

不正アクセスされた期間は、「4年間」と長きに渡る。
その4年間で、いろんなハッカーが出入りして、情報を好き放題にコピーしていた可能性もある。

そこら辺については、まだ明らかになっていない。


今後について

マリオットは、関係する顧客に順次メールを送信しているらしい。

マリオットは2018年11月30日に電子メールをスターウッドのゲスト予約データベースに登録されているお客様に順次送信し始めました。

11/30から送信してるらしいが、12/4時点で当方のとこにはメール、きてないですね。
流出対象期間に、何度も宿泊してるんだが・・・。


なんじゃらほい。


そんな感じ。