【SPG所持者に衝撃】マリオットがスターウッドから5億人分の個人情報が流出と発表【パスポート番号まで】

ネズ子
大変よ!私達のパスポート番号とかの個人情報が流出しちゃったかもしれないのよ!
ちゅうすけ
ワイの誕生日が全世界に知ってもらえたということか!プレゼント楽しみやな!
ネズ子
あら、もう、、、500円位の図書券もらえるといいわね。

残念なニュースが飛び込んできました。

マリオットと統合した「スターウッドグループ」の予約システムにセキュリティ上の問題が発生し、最大で5億件の個人情報が流出したとのこと。

流出した内容は、名前、住所、電話番号、Eメールはもちろん、パスポート番号や、生年月日も含み。一部の情報には、支払いカード番号と支払いカード有効期限も含まれるとのこと。丸裸ですね。現状と今後取るべき対策をおさらいしましょう。

マリオットの公式発表

マリオットからの公式発表はこちら。ページの最後に12月1日時点での全文を掲載しますが、取り急ぎ要約を。

2018年11月19日に2018年9月10日までにスターウッド予約システムへの不正アクセスを発見。

調査により2014年以降の不正アクセスが行われ、流出した内容には「名前、郵送先住所、電話番号、Eメールアドレス、パスポート番号、スターウッドプリファードゲスト(「SPG」)アカウント情報、生年月日、性別、到着および出発情報、予約日付、および通信設定を含む。一部の情報には、支払いカード番号と支払いカード有効期限も含まれる」とのこと。対象者には11月30日以降順次EMAILで連絡する。専用のwebサイトとコールセンターを設置するとしています。

専用webサイトの「Kroll」ってなに?webウオッチャー?怪しくない?

専用webサイトに誘導されるのですが、そこはマリオットやスターウッドではなく、krollというドメイン。なに?これ?フィッシング詐欺?と心配になりますよね。kroll社はサーバーセキュリティー等のコンサルタント会社です。迅速に対応を行うためにマリオットからKroll社に対応を依頼していると思われますので、サイト自体は本物なので安心です。

webウオッチャーに登録してみた!

専用サイトでは、「カナダ」「アメリカ」「イギリス」在住の人はWeb Watcherと呼ばれる個人情報のリアルタイム監視システムへの登録が推奨されています。しかし、日本のサイトでは、登録できないとされています。しかし一応、以前泊まった米国のホテルを住所地としてチャレンジしたところ、登録できました。

登録すると、その時点で個人情報が流出していないかをチェックして報告してくれるとともに、その後もリアルタイムで監視してくれます。ただし、アメリカでの登録を想定しているため、電話番号など桁数が異なったり、銀行口座のように日本の「銀行ー支店ー口座番号」表記等と異なるものは、正確な監視に疑問がのこります。

ただし、Eメールやクレジット番号など世界共通のものは登録ができました。また今の所私は流出していないようです。

監視対象 登録上限 今回の流出 登録可否
Eメールアドレス
社会保障番号 X
電話番号 △桁数相違
クレジット番号
銀行口座番号 X
バスポート番号
メディカル X X

ただし米国在住者向けのプログラムなので推奨するものではありません。日本法人からのアナウンスを待ったほうが懸命です。

自分の情報は流出したのか?

今の所、自分自身の情報が流出したかは知ることはできません。しかし順次Emailで連絡が来るとのことです。ただし2014年以降にスターウッドホテルを利用した人は、流出している可能性が高いと考えていいでしょう。スターウッドホテルは「シェラトン」「ウェスティン」など日本でも多く展開しているホテルが多いため、日本人でも流出した人が多いと思われるので、すぐにアナウンスメントされるでしょう。

マリオットと統合される前のスターウッドシステムからの流出のようなのでマリオットのみしか利用していなければ大丈夫そうですが、SPGに入会している人も流出対象なのかは、今後の調査が必要そうですね。

流出した個人情報の悪用

実は、私自身は過去にadobe社の流出により、個人情報が流出しています。(過去に自身のアドレスが流出したかは、こちらのサイトで確認可能。ただし今回の流出は登録されていません)

その影響で、そのときに流出したメールアドレスとパスワードを利用していたポイントサイト等で、不正アクセスによる不正ポイント使用の被害に会いました。「メールアドレスとパスワード」は同じ内容を様々なサイトで使いまわしているケースも多いと思われるので、そういった悪用が一番心配されます。

今回、現時点では、パスワードが流出したという情報はありません。したがってすぐに、被害に合うかはわかりませんが、今後の悪用が心配されるところですね。

クレジットカードの番号と有効期限流出

少し心配なのが「クレジットカードの番号と有効期限が流出した場合」です。現在多くのサイトでは、クレジットカードの利用には、「セキュリティコード」が利用されていますが、今回はセキュリティコードの流出は報告されていません。そのため、すぐにカードを切り替えなくては行けない必然性は高くありませんが、それでもやっぱり気分的に心配ですよね。

実は、私は、ブリティッシュ・エアウェイズの個人情報流出の被害にもあいました。すぐに、SPGアメックスに再発行依頼を行い、1週間ほどでカード番号が変わったカードを手にしました。今の所「カードの利用履歴をしっかりとチェックして・・・」とアナウンスされていますが、心配な方は再発行依頼をかけましょう。もちろん無料です。

パスポート番号の流出による影響

今回心配なのは、パスポート番号までが流出しているということ。一般的にパスポート番号は簡単に変えることもできず心配ですよね。

ただこの点では、過去にJTBからパスポート番号が流出した際に、外務省がアナウンスしています。

 基本的に,現行の旅券にはIC機能が付されており,旅券冊子自体をお持ちであれば,旅券番号や発行日の情報が外部に流出したとしても,これにより旅券の偽変造などに悪用される可能性は考えにくいと思われます。(一般論として,このような個人情報流出の話があると,情報流出を止めるために費用が必要とかたるといった詐欺のような事案が発生する可能性は考えられるので,注意は必要です。)なお,一部報道で,旅券再取得の可能性に触れています。本件に関し,外務省としては,現時点では旅券の偽変造等,悪用の可能性は考えにくいと思料していますが,本件に関するご照会または何らかの特別な事情がある場合には,都道府県旅券窓口または外務省旅券課までご連絡ください。

ちょっと気持ち悪い気はしますが、心配する必要はなさそうで、一安心ですね。

前代未聞の流出でやっぱり心配

今までも個人情報の流出は数多く起きています。しかし今回は、住所・氏名等の基本情報とともに、「パスポート番号」そして「クレジットカード番号」などの機密情報が流出したことが、これまでにあまりない事例。しかも2014年から長期間に亘ってとのことで、実際にどの情報がどの程度漏れたのかがはっきりしておらず大変不安になりますよね。

特に「スターウッドホテル」に宿泊するという、世界各国のVIPも含まれそうなステイタスが高い属性に人の個人情報は、犯罪集団にとって、とても価値がありそう。単なる腕試しのハッキングではなく、継続的に情報ハックが行われていたとのことで、意図があるかもしれません。引き続き警戒が必要です。

マリオットリリースの全文はこちら(12月1日午前7時時点での情報)

2018年11月30日

当社はお客様を第一に考えるとともに、お客様の個人情報保護の重要性を深く認識しております。この度発生したスターウッドゲスト予約データベースに関するデータセキュリティインシデントに対して、調査及び対策を実施いたしました。調査の結果、2018年9月10日以前のスターウッドのホテルのご予約に関するお客様の情報が含まれるデータベースに不正なアクセスが行われたことが確認されました。本通知では、発生した事象、当社が講じた対策、並びに本件に関するお問い合わせ手順についてご説明いたします。

2018年9月8日に、マリオットでは、スターウッドゲスト予約データベースがアクセスされようとしたとの警告を社内のセキュリティツールから受け取りました。当社は直ちにトップクラスのセキュリティエキスパートチームを招聘し、発生した事象を特定するよう支援を依頼しました。調査の結果、スターウッドのネットワークに2014年から不正なアクセスがあったことが判明しました。また、情報のコピー及び暗号化が第三者によって不正に行われていたこと、さらに、暗号化した情報の削除を試みた形跡があることも判明しました。2018年11月19日、当社は暗号化された情報の復号化に成功し、コンテンツはスターウッドゲスト予約データベースからコピーされた情報であることを確認しました。

データベース内で重複する情報の特定がまだ終了しておりませんが、当社はスターウッドのホテルをご予約になった約5億人のお客様情報が含まれていると考えています。これらのお客様のうち約3億2700万人のお客様については、情報にお名前、郵送先住所、電話番号Eメールアドレス、パスポート番号、Starwood Preferred Guest (SPG)のアカウント情報、生年月日、性別、ご到着及びご出発に関する情報、ご予約日、ご希望の連絡手段の何らかの組み合わせが含まれています。一部のお客様の情報にはクレジットカードの番号と有効期限も含まれていましたが、当社ではクレジットカード番号はAES暗号化方式(AES-128)を使用して暗号化しております。クレジットカード番号の復号化には2つのコンポーネントが必要ですが、現時点では、これらが両方とも入手された可能性がないとは言い切れない状態です。残りのお客様につきましては、情報はお名前に限られており、一部、郵送先住所、Eメールアドレスなどのデータやその他の限られた情報が含まれます。当社は本インシデントを法執行機関に報告し、調査への協力を続けております。また、規制当局への報告も既に開始しております。

マリオットは今回のインシデント発生を大変遺憾に思っております。当社は当初より、トップクラスのセキュリティエキスパートチームの支援も得て、インシデントの速やかな抑制及び調査実施に努めてまいりました。マリオットはご自分の個人情報についてのお客様からのご質問にお答えできるよう全力を尽くして取り組んでおり、専用のウェブサイトとコールセンターを設けました。当社は法執行機関による取り調べを支援し、優れたセキュリティ専門家とともに状況の改善に努めています。また、スターウッドのシステムを徐々に廃止し、当社ネットワークの継続的なセキュリティ強化を促進するために必要なリソースを投資しています。

原文はこちら

https://answers.kroll.com/ja/index.html

 

 

コメントを残す

メールアドレスが公開されることはありません。