欧州のホテル予約サイト、大量の顧客情報が公開状態となっていた恐れ

Alfred Ng (CNET News) 翻訳校正: 佐藤卓 長谷睦 (ガリレオ)2019年11月21日 12時13分

 旅行といえば、旅の計画を立て、最もお得な価格で予約し、必要な荷物をすべて忘れずにパッキングすることをまず考えるという人がほとんどだろう。だがこれからは、利用する旅行予約サービス企業が個人情報を適切に保護しているかどうかということにも気を配る必要がありそうだ。欧州で最大級のホテル予約サービス企業が、テラバイト規模の機密データを公開状態のサーバーに保管していたことを、セキュリティ研究者が明らかにした。

空港
提供:Kiattisak Lamchan / EyeEm

 イスラエルのセキュリティ研究者は現地時間11月20日、誰もが閲覧できる状態になっていたこのデータベースに、氏名、自宅住所、宿泊先、子どもの個人情報、クレジットカード情報、大量のパスワード情報など、旅行者に関する情報が平文で保存されていたと報告した。データベースには顧客14万件分の情報が保存されており、顧客は個人、旅行者のグループ、団体などだとみられている。

 このデータベースを所有しているのは、フランスに本拠を置く欧州最大規模のホテルチェーンAccorHotels傘下のGekko Groupだ。Gekkoのウェブサイトによれば、同社は世界中で60万件のホテルと提携している。

 Gekko Groupの最高経営責任者(CEO)Fabrice Perdoncini氏は、データベースのセキュリティを確保しているとし、自社のITシステムの社内調査を開始していると述べた。

 Perdoncini氏は声明で、「確実に当社の顧客情報を十分に保護することをB2B企業Gekko Groupは最重要視している」とし、「われわれはこの問題の重大さを認識している。これまでにデータが悪用、あるいは誤用されたとの報告はないことを確認している」と述べた。

 同社はすでに、影響を受けた顧客への報告を行っており、暗号化されていない状態でデータベースに保管されていたクレジットカード番号は1000件に満たないと説明している。しかし、サーバーに保存されていた書類のスキャンデータから、さらに多くのクレジットカード番号が閲覧された可能性もある。

 さらに、漏えいした大量のパスワード情報には、世界保健機関(WHO)の認証情報も含まれていたという。ハッカーはWHOの旅費予算にアクセスできた恐れもあると研究者は指摘している。WHOにコメントを求めたが回答は得られていない。

 この問題を発見したのは、イスラエルのセキュリティ企業vpnMentorのチームに参加していたセキュリティ研究者のNoam Rotem氏とRan Locar氏だ。研究者によると、Gekko GroupはElasticsearchのデータベースを利用していたという。

 サーバーはフランスでホストされているが、スペイン、英国、オランダ、ポルトガル、フランス、ベルギー、イタリア、イスラエルなどの旅行者が影響を受けた恐れがあると研究者は説明している。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画特集

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]