海外における個人情報流出事件とその対応 第193回 ホテルのセキュリティが危ない? (2)強化が求められるホテルのITセキュリティ | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.12.17(日)

海外における個人情報流出事件とその対応 第193回 ホテルのセキュリティが危ない? (2)強化が求められるホテルのITセキュリティ

国際 海外情報

●藪の中の真実

 互いが主張を譲らなかったこともあり、事件はメディアの注目を集めた。そのうちの一つ『IT Wire』では、デイビー・ウィンダーがブルースに電話でインタビューしている。ウィンダーはブルースを長年にわたり知っていて、しっかり調査を行った上で執筆すると高く評価されているジャーナリストだと考えている。また、経験も豊富で約20年にわたり活躍してきたと、ブルース寄りの記事になっている。

 インタビューで、ブルースはインド人ハッカーの主張が正しいと考える理由について、ブラックマーケットの世界でも、信用できる売り手としての評判を確立するのは簡単ではないと説明する。オークションサイトで販売を行い、「良い出品者」としての実績を積んでいくのと同じだ。ベストウエスタンのデータを販売していたのは、売り手として信頼できるとの評判を持つハッカーだった。

 ほかにもベストウエスタン側のデータを消去するという説明について、トランザクション記録は1年間検索できるようになっているとして、疑問を投げかけている。ただし、ブルースが示したスクリーンショットは2008年8月18日から21日までだけで、2007年の記録ではなかったことも認めている。

 『The Register』も事件について、ベストウエスタンとブルースのどちらの主張を信じるべきか検証を行っている。記事では、事件の報道についてサイト利用者からのコメントが引用されている。

 例えば、「元ベストウエスタンのITスタッフとして、ベストウエスタン側の全ての主張が正しいと確認する」というものがあったようだ。今もベストウエスタンで勤務する友人を持つ、元内部関係者として、「盗まれたアカウントはシステムに対し、極めて限られたアクセスしか持たない」と言う。盗まれたホテルのフロントスタッフのシステムへのログインIDとパスワードは、新しい予約を調べたり、宿泊料金の調整などを行う、メンバーWebシステムに対するものだった。

 そして、このログインIDとパスワードでは、"トランザクション記録"からは"一握りの記録"しか集めることはできないという。一握りというのは、アカウントのアクセス履歴を調べるもので、攻撃者が実際にアクセスした10件の記録のみを示す。

 一方、ブルースの記事を信じるというコメントでは、レセプションデスクのPCがベストウエスタンのほかの国での予約にアクセスするのを見たことがあることを理由に挙げている。投稿者は英国レスターのホテルでオーストリアのリンツの予約を取り消し、ウィーンで予約を取りなおすのを見ている。この作業はメンバーWebシステムにより行っていた。すなわち、ベストウエスタンの「セキュリティ侵害のあったユーザIDでは1つのホテルでの予約にのみアクセスができた」という説明とは異なる。

●セキュリティ強化が求められる

 発表と報道のどちらが正しいかはともかく、ともにホテルグループであるWyndham Hotels and Resortsとベストウエスタンの情報漏えいでは、ホテルでのセキュリティ強化の重要性を示していると言えるだろう。ホテルでの情報漏えいについては、コーネル大学のホテル経営学部が『ホテルネットワークセキュリティ:米国ホテルのコンピュータネットワーク研究』というタイトルの論文を2008年9月に発表している。

 研究では、米国のホテルのネットワークセキュリティが十分でないという考えだ。多くのホテルは、ネットワーク・トポロジーで欠点を持ち、悪意あるユーザ、ハッカーが悪用して、宿泊客のプライバシーが被害を受けているという。

 これは、ホテルがセキュアでない、すなわち暗号化されていないワイヤレス接続を用いていて、ハッキングされてしまう…

【執筆:バンクーバー新報 西川桂子】
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

国際 カテゴリの人気記事 MONTHLY ランキング

  1. 死亡した男性のメールアカウントを巡るヤフーと裁判所の争い(The Register)

    死亡した男性のメールアカウントを巡るヤフーと裁判所の争い(The Register)

  2. どこかへ跳んでいけ、出来の悪いラビット(The Register)

    どこかへ跳んでいけ、出来の悪いラビット(The Register)

  3. 米軍のSNSに対する膨大なスパイアーカイブ、AWS で数十テラ閲覧可(The Register)

    米軍のSNSに対する膨大なスパイアーカイブ、AWS で数十テラ閲覧可(The Register)

  4. ロシアが中印らと独自インターネット構築か、グローバルDNS分裂の危機を追う(The Register)

  5. 捜査中だった米大統領選に使用されたサーバのデータが消失(The Register)

  6. 「Tor 禁止令」を解く Facebook、暗号化の onion アクセスポイントを宣伝~これからは暗号化通信も完全に OK(The Register)

  7. Anonymousが幼児虐待の秘密の拠点を閉鎖~Tor小児愛者を攻撃し氏名を暴露(The Register)

  8. インドのレジストリで情報漏えい、インドのネットを壊滅させるデータのビットコイン価格とは(The Register)

  9. Mac OS X のシングルユーザモードの root アクセス(2)

  10. WPA2の新たな脆弱性への攻撃KRACK、暗号化技術の根底にある欠陥(The Register)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×