画像: マリオット
大手企業が数百万人に影響を与えたデータ侵害を公表してから数ヶ月が経ち、新たな情報漏洩の発表が迫っています。マリオットホテルチェーンは、2014年以降に世界6,700軒のスターウッドホテルに宿泊したすべての人、つまり最大5億人に影響を与える可能性のある大規模なデータベース侵害を発表しました。
多くの人が長期間にわたって参加しているので、すべての情報については FAQ をご覧ください。
どうしたの?
マリオットは、9月8日に社内セキュリティツールから、米国にあるスターウッドのゲスト予約データベースへのアクセス試行に関する警告を受け取ったと発表しました。このインシデントに関する調査の結果、マリオットは、権限のない第三者が同社の顧客データベースにアクセスし、「情報をコピーおよび暗号化し、削除に向けた措置を講じた」ことが判明しました。
ハッカーはどうやって侵入したのでしょうか?
マリオットはここで明確な説明をしていませんが、これは通常の脆弱性の悪用ではなかったようです。適切な認証情報を持たない誰かがマリオットの予約データベースにアクセスし、顧客情報の暗号化された複製を作成し、それがシステム外に持ち出されたものと思われます。
違反はどのくらい遡るのでしょうか?
マリオット社によると、不正アクセスは2014年に遡るという。
なぜマリオットはもっと早く警告されなかったのか?
不明な点もありますが、不正アクセスが最近になってシステムにアクセスし始めた可能性があります。あるいは、マリオットがアクセスを検知できる新しいセキュリティソフトウェアを最近インストールした可能性もあります。
なぜ今になって聞くのでしょうか?
マリオットは、11月19日にようやくファイルを解読することができ、現在も侵害の範囲の解明に取り組んでいると述べている。
何が盗まれたのですか?
マリオットは回収できたデータを現在も整理中ですが、ほとんどの顧客については、氏名、郵送先住所、電話番号、メールアドレス、パスポート番号、スターウッドプリファードゲスト(「SPG」)のアカウント情報、生年月日、性別、到着・出発情報、予約日、連絡方法の設定が盗まれた可能性があります。
パスワードを変更する必要がありますか?
マリオットは、アカウントへのアクセスやパスワードの盗難があったかどうかについては明らかにしていないが、被害に遭ってもおかしくないだろう。しかし、今回の侵害はホテル宿泊客に関する社内データベースへの侵入であり、オンラインアカウントへの侵入ではない。
パスワードマネージャーを使えば、アクセスするサイトごとに強力で固有のパスワードを簡単に作成できます。まだパスワードマネージャーをご利用でない場合は、おすすめのパスワードマネージャーガイドを参考に、最適なものを選んでください。
クレジットカード情報はどうなりますか?
マリオットによると、一部のユーザーについては、盗まれたデータに決済カード番号と有効期限が含まれていたが、カード番号はAdvanced Encryption Standard暗号化(AES-128)を使用して暗号化されていたという。
私のクレジットカードは安全ですか?
おそらくそうではないでしょう。マリオットは次のように説明しています。「決済カード番号の解読には2つの要素が必要であり、現時点ではマリオットは両方が盗まれた可能性を排除できていません。」
SPGポイントはどうなりますか?
マリオットは、ロイヤルティポイントが獲得されたという証拠はないが、アカウントに不審なアクティビティがないか確認する必要があると述べている。
違反行為は阻止されましたか?
おそらくそうでしょうが、マリオットは不正アクセスが遮断されたかどうかを明確には述べていません。しかし、同チェーンは法執行機関や規制当局と協力しており、今後も侵害が続く可能性は極めて低いでしょう。
マリオットは将来の違反を阻止するために何をしているのでしょうか?
繰り返しになりますが、ハッカーが脆弱性を悪用したのか、それとも単に許可されていないパスワードを使用しただけなのかは完全には明らかではありませんが、マリオットは、スターウッドのシステムを段階的に廃止し、ネットワークのセキュリティ強化を加速するために必要なリソースを投入していると語っています。
自分のデータにアクセスされたかどうかはどうすればわかりますか?
マリオットは、11月30日から影響を受けるゲストにメールを順次送信し始めました。メールが届いていない場合は、スパムフォルダを確認してください。
影響を受けた場合はどうすればよいですか?
マリオットは、お客様からのあらゆるご質問にお答えする専用コールセンターを設置しております。米国のお客様は、877-273-9481まで週7日お電話いただければ、担当者が対応いたします。
クレジットカードをキャンセルした方が良いでしょうか?
これも悪くないアイデアです。マリオットやスターウッドホテルに登録されているクレジットカードがわかっている場合は、今すぐ解約するのが、将来の不正行為を防ぐ最善の方法です。
他に何ができるでしょうか?
マリオットは、米国、カナダ、英国のすべての宿泊客に、個人情報が共有されているサイトを追跡し、個人情報の証拠が見つかった場合に警告するクロールの Web Watcher モニタリング サービスに登録する機会を提供しています。
データ侵害後の対応に関するガイドは、盗まれた情報への露出を最小限に抑えるのに役立ちます。ご健闘をお祈りいたします。
