Marriott系列ホテル、2014年から不正アクセス 5億人の情報流出の恐れ

影響を受ける施設にはSheratonやLe Meridienなども含まれる。パスポート番号や生年月日、性別といった情報のほか、一部については決済カード番号と有効期限も流出した恐れがある。

[鈴木聖子，ITmedia]

　ホテル大手の米Marriott Internationalが展開する系列施設の予約用データベースが何者かに不正アクセスされ、最大で5億人の個人情報が流出した可能性があることが分かった。不正アクセスが2014年から続いていたことも判明し、同社は捜査当局にも通報して調査を続けている。

流出を報じるKrollの記事

　同社の11月30日の発表によると、影響を受けるのは、2018年9月10日までにStarwood系列の施設を予約した利用客。系列の施設には、W Hotels、Sheraton Hotels & Resorts、Westin Hotels & Resorts、Le Meridien Hotels & Resortsなどが含まれる。

　影響を受ける5億人のうち、およそ3億2700万人については、氏名、住所、電話番号、電子メールアドレス、パスポート番号、生年月日、性別、到着・出発情報、予約日などの情報が流出した可能性がある。また、一部については決済カード番号と有効期限も含まれていることが分かった。

　不正アクセスは11月19日に発覚した。9月8日に社内のセキュリティツールでアラートが出て、米国にあるStarwoodの予約用データベースに対する不正アクセスの試みを検知。詳しく調べた結果、何者かが2014年からStarwoodのネットワークに不正アクセスして情報をコピーし、暗号化した上で、削除しようとしていたことが分かった。11月19日に暗号化された情報が解読でき、Starwoodの予約用データベースのコンテンツだったことが分かったという。

　Marriottでは捜査当局に通報し、セキュリティ専門家などによる調査を続けるとともに、専用のWebサイトを開設して状況を説明している。予約用データベースにメールアドレスが登録されていた利用客には、メールで告知を始めた。

　同社からのメールは、「starwoodhotels@email-marriott.com」のアドレスから送信される。ただ、この騒ぎを利用してユーザーをだまし、不正なWebサイトなどに誘導しようとする詐欺メールが出回る恐れもある。公式メールでは、ファイルを添付したり、ユーザーからの情報提供を求めたりすることは一切ないとして、同社は注意を呼び掛けている。

　Starwood系列ホテルでは2015年にもマルウェア感染によって利用客の情報が流出するなど、ホテルを狙う攻撃は世界各地で相次いでいる。