ESET/マルウェア情報局

大規模な情報漏えいを防ぐために必要な5つの防御策

  • この記事をはてなブックマークに追加
  • 本文印刷

 本記事はキヤノンITソリューションズが提供する「マルウェア情報局」に掲載されたマリオット・スターウッドの情報漏えいに関して講じるべき5つの防御策を再編集したものです

 世界最大のホテルチェーンであるマリオット・インターナショナルは、スターウッドの予約データベースを含む大量の情報が漏えいしたことを発表した。今回の漏えいについて米紙ワシントンポストの報道によると、5億人にも上る利用者の個人情報が流出した恐れがあるとのこと。これほど大規模に流出したのは、スターウッドがシェラトン、ウェスティン、ルメリディアン、アロフト、ラグジュアリーコレクション、Wホテルといったさまざまなブランドを展開しているためだ。同社幹部によると別の理由として、2014年から継続して何者かがデータベースに不正アクセスしていたことも一因として考えられるという。

 セキュリティインシデントの対応において豊富な実績があるクロール社では、この情報漏えいについてスターウッドの公式ウェブページの見解を掲載(https://answers.kroll.com)している。これまでに流出した情報は以下の通りである。

A. 3億2700万人の利用者に関する氏名、郵送先住所、電話番号、メールアドレス、パスポート番号、スターウッドプリファードゲスト (SPG) アカウント情報、生年月日、性別、発着情報、宿泊予約日、希望の連絡手段。

B. 同じく利用者3億2700万人のうち、一部の利用者のクレジットカード番号と有効期限(このカード番号は非常に強固なAES-128で暗号化されていた。しかし、ハッカーはカード番号の解読に必要な暗号化キーも盗んだ可能性があり、いまだにマリオットはこれを否定していない。)

C. 残りの利用者分については氏名とその他データ(郵送先住所、メールアドレスまたはその他情報など) のみが流出。

 これら事情を踏まえ、過去4年の間にスターウッド/マリオットブランドを利用したことがあるのならば、直ちに以下5つの防御策を講じるべきであろう。

1. パスワードの変更

 今回の情報漏えいを踏まえて最初にすべき最も簡単な対策は、(現在、統合を進めている)マリオット/SPGアカウントのパスワードを変更することである。そして、マリオット/SPGアカウントのパスワードをそれ以外のアカウントでは利用しないほうが望ましい。しかし、現在それらで共通のパスワードを利用しているならば、早急に他アカウントのパスワードも変更していくことが重要である。

2. アカウントに怪しい取引履歴がないかを確認

 過去、支払いに利用したクレジットカードとマリオット/SPGアカウントの取引履歴に注意すること。見覚えのない支払履歴に気づいたら、早急にカードを発行した金融機関に連絡することが先決だ。マリオット/SPGアカウントに異常または詐欺が疑われる取引履歴があったら、マリオット/SPGに直接連絡すること。念のため、クレジットカードの信用情報だけでなく他の金融口座(年金口座や証券口座など)も確認しておきたい。

 覚えておきたいのが、ハッカーは流出した全データをすぐ利用したり、売ったりするわけではないこと。そのため、しばらくの間は自らのアカウントに注意を払う必要があるだろう。

3. 「クレジットフリーズ(Credit Freeze)」を検討

 クレジットフリーズ*1をおこなうと、あなたのクレジットカードに関する信用情報は完全にアクセスできない状態になる(新しい銀行カード、ローン、アパート契約への申し込みや、仕事への応募時の不正アクセス防止)。そのため、ハッカーはあなたの情報を使って新しいアカウントを作成することができなくなる。近年、クレジットフリーズやフロードアラート(Fraud Alert)の手数料に関する法律が改正されたこともあり、米国では無料で利用できるようになってきている。

 クレジットフリーズをおこなわない場合、代わりにファイルにフロードアラートを適用することもできる。フロードアラートとは、「個人情報を盗まれる恐れがある」ことや、「自分の名前を騙りクレジットカードの信用情報を取得しようとしている者が、本当に当人なのかを確認する時に追加的な処置をとる」よう利用者に警告するサービスのことである。

*1 個人情報を守るため、信用情報取得会社に対し、他者からのアクセスを制限すること

4. ログイン時のセキュリティを強化

 今回の漏えいや、最近発生したその他の情報漏えい(特に、エキファックス社の情報漏えい)により、あらゆる情報がハッカーの手に渡ってしまっている。ハッカーはデータを組み合わせ、他のインターネット上のアカウントやサービスにアクセスしようとするだろう。そのため、使用する各アカウントに対して、必ず強力かつユニークなパスワードを使用することが賢明だ。二段階認証を利用できるのであれば、すぐにでも有効にすべきである。

 マリオットは、宿泊者向けロイヤリティプログラムのログインに二段階認証を最初に採用した企業の一つである。つい最近、マリオットはSPGと統合したばかりで、マリオットとSPGのロイヤリティプログラムは分かれている。注意すべきなのはSPGアカウントである。今回の情報漏えいを受け、両プログラムの統合が早急に進み、セキュリティがより強化されることを期待したい。

5. この事件に関連する詐欺に注意

 今回の事件を受け、多くの人が自らのアカウントにセキュリティ的な問題がないか不安に感じている。そして、ハッカーはこの現状をよく理解している。皮肉にも、このような不安を逆手にとったソーシャルエンジニアリングの手法やフィッシング詐欺に引っかかる可能性も否定できない。この件に関して何かしらメールを受け取った場合、それが情報漏えいを悪用した企業から送られたものならば、添付されたリンクを決してクリックしないことだ。何か怪しい感じがしたなら、なおさらだろう。

 特に大規模なセキュリティ事故や、他にも危機的な状況が発生した後には、迷惑メールに貼り付けられているリンクは悪意あるものである可能性が高いと考えてよい。事件に関して企業に連絡を取らなければならない場合、迷惑メール内のリンクをクリックするのではなく、正規のURLをブラウザーに直接入力したほうがよいだろう。(編集部追記:あるいは検索エンジンなどで企業名を検索し正規のサイトに訪問するというプロセスを踏んだほうが安全である。)

史上最大級の情報漏えい事件は、さらに深刻な損害を生む可能性も

 マリオット・スターウッドの情報漏えいは、過去最大級のデータ漏えい事件となった。5億人(原文の通り)という被害者の人数は、ヤフー社の情報流出時の30億人に次いで2番目の多さである。比較のため記載しておくと、2013年にターゲット社を襲ったインシデントの被害者数は7000万人、そのうち4000万人の支払い用クレジットカードのデータが流出した。

 流出したデータに関して、漏えいしたスターウッドのデータには支払い用クレジットカードの情報が含まれていないものもあったようだ。また、幸いなことに社会保障番号は一切含まれていなかった。一方、珍しいことだが、パスポートの詳細情報が一部漏えいしている。さらに、攻撃者は2014年からシステムにアクセスしていた可能性があるため、スターウッド利用者の旅行パターンやその他の貴重な情報が収集された恐れも否めない。この点が、小売業や銀行業などの分野での漏えい事件とは大きく異なるところだろう。

 明らかに、今回のデータ漏えいはマリオットとスターウッドに深刻な影響を及ぼしている。それは、大規模な流出だったという理由だけではない。マリオット・インターナショナルは2015年にスターウッドホテル&リゾートを136億ドルで買収した際、攻撃者の存在に気づかなかったことを露呈してしまっているためである。

 ESETの研究員であるスティーブン・コブ(Stephen Cobb)によると、いまやすべての関連ブランドの評判が下がり、大きな損害を被るだけでなく、さまざまな有罪判決を受ける可能性もある。顧客や利害関係者が集団訴訟を起こすだけでなく、米国の州検事総長やEUのデータ保護当局といったあらゆる機関が損害調査に乗り出す可能性もある。この事件はGDPRが施行されて以来、最大の情報漏えい事件であることを覚えておきたい。

[引用・出典元]

Marriott Starwood data breach: 5 defensive steps travelers should take now by Lysa Myers posted 30 Nov 2018 - 07:47PM

■関連サイト

キヤノンMJ トップへ