マリオット・インターナショナルは、傘下のスターウッドの顧客データベースから盗まれた500万件以上のパスポート番号が暗号化されていなかったことを明らかにした。同社は金曜日に発表した新たな声明で、被害に遭った宿泊客の数は当初の想定よりも少ないと述べている。

暗号化されていないパスポート番号

マリオットは、2018年11月末に明らかになったサイバー攻撃で盗まれたデータの中に、暗号化されていないパスポート番号約525万件が含まれていたと述べた。さらに、暗号化されたパスポート番号2030万件が盗まれたが、ハッカーがそれらの番号を解読するために必要なマスター暗号化技術を持っていたという証拠はないとした。

データにパスポート番号が含まれていることは特に懸念される。中国当局が攻撃を実行した疑いがある（ニューヨーク・タイムズ紙より）。中国政府は関与を否定している。マリオットは、詐欺に遭い、パスポート番号を紛失した人に対し、再発行費用を負担することを申し出ている。

マリオットはまた、ハッカーがハッキングの際に860万枚の暗号化された決済カードを盗んだと発表しました。そのうち35万4000枚は、ハッカーが最終的に発見された2018年9月の時点で有効期限が切れていませんでした。声明では、マリオットが決済カードのフィールドを暗号化したと説明されています。しかしながら、マリオットは「決済カードのデータが誤って他のフィールドに入力され、暗号化されなかったかどうかを確認するため、追加分析を実施中」と述べています。

史上最大のハッキング事件

ハッカーは2014年から2018年9月10日まで、スターウッド（現在はマリオット傘下）の顧客データベースにアクセスしていました。同社によると、3億8,300万人分のユニークゲストのデータが盗まれたとのことです。これは当初想定されていた5億人より少ない数です。今後、重複データがさらに発見されれば、この数はさらに減少する可能性があります。この事件は、史上最大のデータ損失事件として記録されています。

マリオットの社長兼最高経営責任者（CEO）であるアーネ・ソレンソンは次のように述べています。「私たちは、今回のインシデントへの対応に継続的に取り組んでおり、発生した事象について可能な限り理解を深めるとともに、お客様とパートナーの皆様に最新情報をお伝えしたいと考えています。サイバーフォレンジックとデータ分析の作業が終盤に近づくにつれ、お客様の懸念に対処し、お客様がマリオットに期待する卓越した水準を満たすために、引き続き尽力してまいります。」