マリオットがハッキングされた。そう、またもや

2018年11月、ホテル大手のマリオットは、史上最大規模の情報漏洩事件の一つに見舞われたことを公表しました。このハッキングにより、スターウッドホテルに予約していた5億人の情報が漏洩しました。火曜日、マリオットは再びハッキングを受け、最大520万人の宿泊客が危険にさらされたと発表しました。これはある意味では進歩と言えるのではないでしょうか。

今回のハッキングは、パスポート番号などの機密情報が影響を受けていないことから、前回ほど壊滅的な被害ではないようです。それでも、大手企業がこれほど短期間で二度も攻撃を受けたという事実は、データがどれほど危険にさらされているか、そしてデータ保護のための対策が不十分であることを如実に示しています。

ハック

マリオットが火曜日に提供した詳細によると、侵入は1月中旬に遡り、何者かがフランチャイズ施設の従業員2名の認証情報（現時点では盗まれたかどうかは不明）を使用して「予想外の量の宿泊客情報」にアクセスしたという。アクセスされたデータには、氏名、メールアドレス、自宅住所、電話番号などの連絡先情報に加え、性別、生年月日、マイレージ会員番号、ロイヤルティアカウント情報、エレベーターに近いか遠いかといったホテルの好みなどが含まれていた。

マリオットは2月末にようやく不審なアクティビティに気づき、数週間にわたって継続していたことを明らかにしました。その後、マリオットは認証情報を無効化し、調査を開始し、影響を受けたと思われる宿泊客に火曜日にメールを送信しました。

マリオットが最終的な責任を負うのは当然ですが、最近のハッキングはいずれも間接的な攻撃であったと言える点を指摘しておく価値があります。2018年のハッキングは、マリオットが2016年に買収したスターウッドの予約データベースが標的でした。そして今回のハッキングは、フランチャイズ店から始まりました。「マリオットは、企業が自社の事業だけでなく、パートナー、請負業者、そしてフランチャイズ店の事業も保護しなければならないことを改めて示しました」と、セキュリティ企業eSentireの副社長マーク・サングスター氏は述べています。「サプライチェーンは、マリオットのような企業にとって最大の脆弱性の一つです。」

誰が影響を受けるのか?

マリオット・ボンヴォイ・ロイヤルティ・プログラムの最大520万人の会員の個人情報が盗まれた可能性がありますが、これらの数字は上方修正される場合もあるので注意してください。もしあなたがその一人なら、火曜日に「[email protected]」という一見怪しくないアドレスからメールが届いているはずです。いずれにせよ、念のため、マリオットが開設した、これも全く安全とは思えないオンラインポータルに、名前、メールアドレス、居住国を入力することもできます。

被害に遭われた場合、マリオットはすでにBonvoyアカウントのパスワードを変更しているため、リセットする必要があります。リセットすると、個人情報を保護するために2段階認証を有効にするように求められますが、これは絶対に行うべきです。また、フランチャイズ従業員の認証情報が盗まれたのであれば、マリオットは自社の従業員にも同様の高度なセキュリティ対策を適用しているはずです。同社はコメント要請にすぐには応じませんでした。

「ほとんどの侵害は多要素認証で簡単に防ぐことができます」と、侵入テストとインシデント対応のコンサルティング会社TrustedSecのCEO、デビッド・ケネディ氏は述べています。「あらゆる種類の昇格アクセスに対して、組織は強化されたセキュリティ管理を活用する必要があります。多要素認証は全員に適用されるべきです。そして、高いレベルのアクセス権限を持つ昇格アカウントについては、セキュリティの精査をさらに徹底する必要があります。」

影響を受ける米国居住者の方々には、マリオットが信用調査会社エクスペリアンが運営するIdentityWorksによる1年間のID監視サービス料金を負担します。登録期限は今年6月30日までです。（米国以外の居住者の方は、こちらの別のサイトをご利用ください。）登録には、通知メールまたはマリオットが新たに開設した「私の情報がハッキングされたか」ポータルに記載されているアクティベーションコードが必要です。

これはどのくらい深刻なのでしょうか?

現時点でわかっている限りでは、今回の事件は2018年の情報漏洩ほど深刻ではないことは確かです。2018年の情報漏洩は、パスポート番号などの特に機密性の高い情報が漏洩しただけでなく、中国政府が支援するハッキング活動の一環だったからです。しかし、被害者数が少なく、情報も平凡だからといって騙されてはいけません。それでも、かなり深刻な状況です。