マリオット(SPG)の5億人分の顧客情報流出、自分が該当するか確認できるサービスができたので使ってみた


マリオット(SPG)の顧客情報流出

現在はマリオットと統合したSPG(スターウッド・プリファード・ゲスト)が昨年、大規模なハッキング被害を公表した。
5億人分の顧客情報が流出した可能性があるというもので、流出した情報には氏名・年齢・生年月日・メルアドの他に、クレカ情報(暗号化)・パスポート番号(非暗号化)なども含まれるという深刻度の高い話であった。

公式による説明ページはこちら(日本語)。
スターウッドゲスト予約データベースセキュリティインシデントについて


関連の記事はこちら。
やじり鳥 マリオットが5億人分の顧客情報を流出、SPGの予約データベースにハッキング被害

ちなみに情報のアップデートがあり、流出した顧客情報は「5億人」でなく、「最大3.8億人」ということが判明している。

当社は、相当程度の確実性をもって、対象となった情報は3億8300万人よりも少ないお客様のものとの結論に達しましたが、データベース内のデータの性質上、具体的な数値は特定できておりません。


ただまぁ、2018年9月10日より前にSPG系列のホテルに泊まった人の情報が流出した可能性があることは、変わらないと思うけど。
顧客情報の重複とかを、できるだけカットしただけだろうから。


自分が該当してるかの確認サービス

そんな大規模インシデントを起こしたSPGだが、先月くらいに個別確認サービスが始まった。
自分の会員番号・氏名などを入力すると、情報流出したか確認できるというモノ。

このサービスは、説明サイトの「私は自分の個人情報に関してどのような権利を持っていますか?また、その権利はどうすれば行使できますか?」項にリンクが追加されている。
以下のフォームから問い合わせ可能。
OneTrust | Privacy Management Software

私の情報も今回のインシデントに関係していましたか?
お客様ご自身に関する特定の情報が今回のインシデントに関係していたかどうか確認されたい方は、こちらのフォームにご入力をお願いいたします。当社にて詳細を確認し、できるだけ速やかにご連絡するようにつとめさせていただきます。


確認フォームは日本語対応していないが、まぁ意味は大体分かる。
nameとかbirthdayとかPassportとか、そーゆーの。

f:id:tonogata:20190316122450p:plain:w600

情報を入力して送信すると、本人確認メールが届く。
そのメールに記載のURLを踏むと、登録完了。

f:id:tonogata:20190316122529p:plain:w400

登録完了メールには、自分のリクエストIDが記載されているので、そのメール自体は削除せずに残しておく。
(でもまぁリクエストIDも直接は使わないけど)


なお、この情報漏洩確認サービスは米国OneTrust社によって運営されている。
この確認フォームを実際に利用するかどうかは、個々人の判断にて。


確認結果は散々だった

このサービスは、結果がでるまでに時間がかかる。

混雑度によるかもしれないが、2月中旬に申し込んだ自分は最近になって結果がきた。
ちょうど1ヶ月で結果がきた形。

結果は、リクエストIDを含むメールタイトルで送られてくる。
「(Request ID: XXXXXX) Your Privacy Access Request」

f:id:tonogata:20190316123934p:plain:w400

メールから更に、詳細な結果ページに飛ぶ。
なお、結果ページは30日後に削除される。
(なので念のためにキャプチャをとっておいた)

Dear XXXXX,

Based on the information you provided to us, we believe that your information was involved.
Following our analysis, we believe that the following information about you was involved in the
incident:
(貴方の個人情報について、下記の項目が流出に巻き込まれたと考えられます)

流出項目 和訳
Name 名前
Birthdate 生年月日(全て)
Birthday (Month and Day Only) 生年月日(月と日のみ)
Address Information 住所
Primary Email Address メールアドレス
Primary Phone Number 電話番号
Other Phone Information その他の登録情報
Unencrypted Passport Number パスポート番号(暗号化なし)
Encrypted Passport Number パスポート番号(暗号化あり)
Passport Issuing Country パスポート発行国
Starwood Preferred Guest (SPG) Number SPG会員番号
Starwood Preferred Guest (SPG) Loyalty Status and Balances SPGステータスとポイント残高
Guest Frequent Traveler Program Information 知らん
Starwood Executive Traveler Number 知らん
Guest Opt-In Preferences オプトインの登録有無
Email Communication Preferences メルアド登録状況
Reservation Details ホテル予約の詳細
Central Starwood Unique Record Locator 知らん
Employed at Starwood (Y/N) SPG社員かどうかフラグ
Record History Information たぶんDBの変更履歴


「クレカ番号」が流出対象に入ってないのは、ちょっと安心。
(クレカ情報については、一部の顧客分のみ流出している)

パスポート番号については「暗号化あり版(Encrypted)」「暗号化なし版(Unencrypted)」があるが・・・
両方持ってかれてるますね。。。

まぁパスポートは最近更新したので、どうでも良いけど。
やじり鳥 パスポート更新時の「パスポート申請書」がWEB入力とダウンロードに対応

っていうか、「電話番号」とかも暗号化しといてよっていう。。。

なお「暗号化」というのは、データベースに暗号化した状態で格納されており、一般的に暗号化済み情報が流出しても「かなり頑張らないと読めない」ので、ある意味問題ないかもしれない。
ただし、「復号化キーもセットで流出したらしい(報道)」というのが、本件のチャームポイントとなっております。

おー尿!!
(Oh,No!!)


ほい。

とりあえず、自分の流出範囲が特定できたのは良かったです。
そもそも、酷いインシデントだとは、思うけれども。


そんな感じ。

www.bousaid.com