欧州のホテル予約サイト、大量の顧客情報が公開状態となっていた恐れ

　旅行といえば、旅の計画を立て、最もお得な価格で予約し、必要な荷物をすべて忘れずにパッキングすることをまず考えるという人がほとんどだろう。だがこれからは、利用する旅行予約サービス企業が個人情報を適切に保護しているかどうかということにも気を配る必要がありそうだ。欧州で最大級のホテル予約サービス企業が、テラバイト規模の機密データを公開状態のサーバーに保管していたことを、セキュリティ研究者が明らかにした。

提供：Kiattisak Lamchan / EyeEm

　イスラエルのセキュリティ研究者は現地時間11月20日、誰もが閲覧できる状態になっていたこのデータベースに、氏名、自宅住所、宿泊先、子どもの個人情報、クレジットカード情報、大量のパスワード情報など、旅行者に関する情報が平文で保存されていたと報告した。データベースには顧客14万件分の情報が保存されており、顧客は個人、旅行者のグループ、団体などだとみられている。

　このデータベースを所有しているのは、フランスに本拠を置く欧州最大規模のホテルチェーンAccorHotels傘下のGekko Groupだ。Gekkoのウェブサイトによれば、同社は世界中で60万件のホテルと提携している。

　Gekko Groupの最高経営責任者（CEO）Fabrice Perdoncini氏は、データベースのセキュリティを確保しているとし、自社のITシステムの社内調査を開始していると述べた。

　Perdoncini氏は声明で、「確実に当社の顧客情報を十分に保護することをB2B企業Gekko Groupは最重要視している」とし、「われわれはこの問題の重大さを認識している。これまでにデータが悪用、あるいは誤用されたとの報告はないことを確認している」と述べた。

　同社はすでに、影響を受けた顧客への報告を行っており、暗号化されていない状態でデータベースに保管されていたクレジットカード番号は1000件に満たないと説明している。しかし、サーバーに保存されていた書類のスキャンデータから、さらに多くのクレジットカード番号が閲覧された可能性もある。

　さらに、漏えいした大量のパスワード情報には、世界保健機関（WHO）の認証情報も含まれていたという。ハッカーはWHOの旅費予算にアクセスできた恐れもあると研究者は指摘している。WHOにコメントを求めたが回答は得られていない。

　この問題を発見したのは、イスラエルのセキュリティ企業vpnMentorのチームに参加していたセキュリティ研究者のNoam Rotem氏とRan Locar氏だ。研究者によると、Gekko GroupはElasticsearchのデータベースを利用していたという。

　サーバーはフランスでホストされているが、スペイン、英国、オランダ、ポルトガル、フランス、ベルギー、イタリア、イスラエルなどの旅行者が影響を受けた恐れがあると研究者は説明している。