3億人分の情報漏えい事件から見えた、金銭では済まない代償とは

3億人以上が対象となった個人情報漏えい事件が決着を迎えた。個人情報漏えいに対しておわびだけで済ませる事例が多い中、多額の罰金が科せられた。だが罰金だけでは済まなかった。

[Matt Kapko，Cybersecurity Dive]

　個人情報漏えいに対して厳しい和解を受け入れたのは、世界的なホテルチェーンだ。全世界で合計3億4400万人に影響を与えたため、政府から告発を受けていた。

　厳しい結果になったのは、ホテルチェーンが複数回にわたるデータ侵害を受けながら、長期間発見できなかったことはもちろん、サイバーセキュリティに投資しておらず、基本的な防護策を怠っていたからだ。

代償は金銭の支払いだけではなかった

　米連邦取引委員会（FTC）と和解したのはMarriott International（以下、Marriott）だ。FTCが2024年10月9日に発表した和解案によると（注1）、Marriotは2014年から2020年にかけて発生した3件のデータ侵害に端を発する告発を解決するため、金銭の支払いと情報セキュリティ対策を強化することに同意したという。

　Marriottは米国の全ての顧客に対して個人情報の削除を同社に対して要求する方法も実装する。なお、今回とは別の和解において、Marriottは同様のデータセキュリティ違反の告発を解決するために、49の州とコロンビア特別区に対して5200万ドルの罰金を支払うことに同意した（注2）。

　FTCの消費者保護局に所属するサミュエル・レビーン氏は、声明の中で「Marriottの不十分なセキュリティ対策が、何億もの顧客に影響を与える複数の侵害を引き起こした」と述べた（注3）。今回の結論はFTCが多数の州当局と連携して調査した結果だ。

　Marriottは2024年10月9日に発表した声明において「和解の一環として合意したデータプライバシーとセキュリティに関する改善の多くはすでに実施されているか、進行中だ」と述べた（注4）。

　また、Marriottは次のようにも述べている。

　「当社は基本的な申し立てに関する責任を認めるわけではない。これらの解決策は、サイバーセキュリティ脅威の進化に伴うリスクを評価および特定、管理するために、当社が引き続きプログラムとシステムの維持と適応に注力し、重要な投資を行っていることを再確認するものだ」

　この和解は、過去10年間にわたりMarriottとそのグループ企業Starwood Hotels and Resorts Worldwide（Starwood）で繰り返されてきた大規模なデータ侵害の問題に区切りを付けるものだ。

Marriottが関わった3件のデータ侵害とは

　Marriott関連の3件のデータ侵害を時系列順に示すと次のようになる。

2014年6月〜2015年8月
　MarriottはStarwoodを買収すると2015年11月に発表し、2026年4月に買収が決まっていた。Starwoodで、2014年6月にデータ侵害が始まり、14カ月間検出されずに続いた。その結果、Starwoodの顧客4万人以上のクレジットカード情報が漏えいした。顧客が漏えいについて通知されたのは2015年11月だった。

2014年7月〜2018年9月
　2014年7月ごろにStarwoodの予約システムを狙ったデータ侵害が始まり、2018年9月まで検出されなかった。これは史上最悪のデータ侵害に数えられるという（注5）。時期としては1回目のデータ侵害と重なる。全世界3億3900万人のStarwoodゲストアカウント情報に不正アクセスがあり、その中には525万件の暗号化されていないパスポート番号が含まれていた。検出までほぼ4年もかかっている。

2018年9月〜2020年2月
　Marriott自身のネットワークが不正アクセスを受けた結果、全世界で520万人のゲスト記録にアクセスされた。米国籍の顧客だけでも180万人のデータが含まれており、氏名や住所、メールアドレス、電話番号、生年月日、アカウント情報などの個人情報が漏えいした。Marriottがデータ侵害を発表したのは2020年3月だ（注6）

　3件のうち2件はMarriottが買収する以前に起きたデータ侵害だが、それでも罰金の対象になった。つまり、今後は企業を買収する場合、対象企業のセキュリティ侵害について十分な調査が必要だということが分かる。

　これ以外にもMarriottはサイバー攻撃を受けている。2022年にソーシャルエンジニアリング攻撃を受け（注7）、ホテルの運営に関する機密性の低い内部業務に関するファイルが流出した。2022年の事件はFTCや各州との和解案には含まれていない。

　FTCは「MarriottとStarwoodは、合理的で適切なデータセキュリティを備えていると主張して消費者を欺いた」と述べた。

　連邦政府機関は、MarriottとStarwoodが適切なパスワード管理やアクセス管理、ファイアウォール管理、ネットワークセグメンテーションを実施しなかったとしている。さらに訴状では、両社が旧式のソフトウェアやシステムにパッチを当てず、ネットワーク環境の適切な記録と監視を怠り、適切な多要素認証を導入しなかったと主張している。

　FTCとの和解により、Marriottは包括的な情報セキュリティプログラムを維持していることをFTCに毎年報告し、20年間その順守を証明する必要がある。また、この合意により、Marriottは、独立した第三者によるセキュリティプログラムの評価を2年ごとに受けなければならない。

出典：FTC settles yearslong investigation into Marriott’s ‘security failures’（Cybersecurity Dive）
注1：Marriott/Starwood: Agreement Containing Consent Order（FTC）
注2：Multistate Settlement with Marriott for Data Breach of Starwood Guest Reservation Database（CT.GOV）
注3：FTC Takes Action Against Marriott and Starwood Over Multiple Data Breaches（FTC）
注4：Marriott International Resolves State Attorneys General and Federal Trade Commission Investigations into 2018 Starwood Database Security Incident（Marriott News Center）
注5：500M hit by Marriott data breach; intrusion undetected since 2014（CIO Dive）
注6：Marriott International Notifies Guests of Property System Incident（Marriott News Center）
注7：Latest Marriott breach shows a human error pattern（Cybersecurity Dive）

原文へのリンク