多くのホテルの予約システムに情報漏えいリスク、調査で明らかに

　ホテルを予約すると自動的に予約情報を確認するメールが送られてくるが、その情報を見ることができるのは予約した当人だけではないかも知れない。

　セキュリティ企業のSymantecは、何百ものウェブサイトにセキュリティホールを発見したと発表した。これらの問題が悪用されると、名前や電話番号、パスポート番号、確認用の電子メールアドレスなどの個人情報が流出してしまう可能性がある。

　Symantecのセキュリティ研究者Candid Wueest氏は、54カ国のホテルのウェブサイトを1500以上調べたところ、約3分の2に問題が見つかったと述べている。

　Wueest氏によれば、ホテルは多くの個人情報を持っているが、ホテルのウェブサイトから情報漏えいが起こる事件が相次いでいる。問題の1つは、ホテルが宿泊客に送信しているメールに埋め込まれているURLにある。約850のホテルのウェブサイトでは、認証の手続きを経ずに予約の詳細情報を閲覧できるようになっており、URLを知っていれば、誰でも宿泊客の個人情報を手に入れられるという。またそのうち約3分の1では、予約番号がURL自体に埋め込まれていた。

　そのURLを見られるのが宿泊客本人だけであればそれほど問題はないが、ホテルのウェブサイトには広告やサードパーティーのアナリティクスツールが埋め込まれているため、それらのサードパーティーもURLを入手可能できる。この情報が悪意のある目的で情報を収集するために利用される可能性がある。

　予約番号が分かっていれば、攻撃者がホテルのサイトで予約番号を入力するだけで、その予約に関するすべての個人情報を入手できる場合もある。

　また、一部のホテルのサイトには、総当たり攻撃に対する脆弱性が存在していた。これは、あり得る予約番号の組み合わせをすべて試してみることで、情報を入手できるということだ。実際Wueest氏は、ホテルのウェブサイトに対して総当たり攻撃を行い、有効なすべての予約の情報を調べることができる複数の事例に出くわしたという。

　同氏は、これらのセキュリティ上の問題が発見されたすべてのホテルに連絡を取ったが、その約4分の1は警告を6週間以上無視したと述べている。Wueest氏はホテルに対して、URLに予約情報を平文で埋め込むのをやめること、予約確認ページに認証の仕組みを導入することを推奨している。