セキュリティ

ホテル予約サイトのうち67%で宿泊情報や個人情報が第三者に漏れている可能性がある

by Soumil Kumar

2018年11月、世界最大のホテルチェーンであるマリオット・インターナショナルが、最大約5億人分もの顧客情報が盗まれたと発表しました。ホテル業界のセキュリティ体制が問題となる中、コンピューターセキュリティソフトのノートンで有名なシマンテックの研究者は、「ホテルの予約に関連するウェブサイトのうちおよそ3分の2が顧客の宿泊情報や個人情報を外部に漏らしている可能性がある」という調査結果を発表しました。

Two in Three Hotel Websites Leak Guest Booking Details and Allow Access to Personal Data | Symantec Blogs
https://www.symantec.com/blogs/threat-intelligence/hotel-websites-leak-guest-data

ノートンのセキュリティ研究者であるCandid Wueest氏は、ホテルのウェブサイトにおけるセキュリティ問題について調査するため、54カ国の1000を超えるホテル予約ウェブサイトをテストしたとのこと。テストしたサイトは田舎の2つ星ホテルから豪華な5つ星リゾートホテルまで多岐にわたり、Wueest氏が思いついた場所をランダムに選び、その場所に当てはまるホテルを検索して上位に表示されるウェブサイトをチェックしたそうです。


調査の結果、実に67%ものウェブサイトが「広告主やデータ分析企業など、第三者に対してユーザーの予約参照コードを漏らしている」ことが明らかになりました。なお、Wueest氏の調査には大手チェーンホテルも含まれています。広告主がユーザーのウェブページ閲覧履歴を追跡していることは珍しくありませんが、今回のケースでは広告主を含む第三者がユーザーの予約参照コードを入手できる状態となっており、個人情報を盗み見たりホテルの予約をキャンセルしたりすることが可能だったとWueest氏は述べています。

「いくつかの予約システムはホテルの宿泊日数などの情報のみを漏らしており、よりプライベートな情報を流出させていないという点で立派でした」とWueest氏は皮肉を述べており、多くのホテル予約サイトは宿泊者のフルネーム、メールアドレス、住所、携帯電話番号、クレジットカードの下4桁やカードの種類、クレジットカードの有効期限、パスポート番号などの個人情報を流出させていた可能性があるとしています。

by Tim Savage

なぜこれほど多くの予約システムが個人情報を第三者に漏らしてしまっているのかという点について、Wueest氏は「予約の確認を行うために送信されるメールに記載されたURLリンク」が問題だと指摘。顧客の利便性を高めるために、多くの予約サイトはメールに記載されたURLをクリックするだけで、ログインすることなく予約サイトにアクセスして予約情報をチェックすることができるようにしています。

このメールに記載されるURLには、ユーザーの予約参照コードが静的なパラメーターとして使用されています。ユーザーにだけURLが通知されるのであれば問題はありませんが、実際には広告や検索エンジンをはじめとする第三者の追加コンテンツもロードされるため、さまざまな情報と共にユーザーの予約情報にアクセスできるURLが共有されてしまっているそうです。

データが信頼できる第三者とのみ共有されている場合、この問題によるプライバシーリスクは低いとWueest氏は考えています。しかし、暗号化されていないURLが悪意のある人間に傍受されてしまうリスクが、公共のホットスポットには存在するとWueest氏は指摘しました。


また、Wueest氏によると複数のウェブサイトが発効するユーザーの予約番号は、メールアドレスやユーザーネームから予測しやすいものになっているとのこと。そのため、悪意のある人間がユーザーの予約番号を予測し、ある程度の範囲で手当たり次第に予約番号を入力し、目当ての宿泊情報をのぞき見ることもできるそうです。

ホテルの予約サイトに関する脆弱性を発見したWueest氏は、ホテルのデータ保護責任者に対して調査結果を報告しました。ところが、実に25%もの責任者が6週間以内に返事を返さなかったそうで、回答までの日にちは平均して10日ほどだったそうです。多くの責任者は問題の内容について確認し、問題の調査および変更の実施をWueest氏に約束しました。

by Negative Space

2018年にノートンが発表した(PDF)サイバーセキュリティレポートによると、83%の人々がプライバシーについて心配しているものの、61%の人々は利便性のために自らのプライバシーを危険にさらすことを受け入れているそうです。SNSへの写真投稿は個人の居場所特定につながりますが、人々はそのリスクについて深く考慮しておらず、それはSNS以外のサービスについても同様というわけ。

今回発見された予約サイトの脆弱性は、攻撃者が単なる愉快犯としてユーザーの宿泊予約をキャンセルできるだけでなく、競合他社の評判を落とすために業界内の悪意ある第三者がユーザーの予約をキャンセルすることも可能にします。また、詐欺師がユーザーの宿泊情報や個人情報を入手することにより、個人にパーソナライズしたスパムメールを送信可能になるかもしれないとWueest氏は指摘しました。

この記事のタイトルとURLをコピーする

・関連記事
中国のホテルから流出した1億人分以上の宿泊データが約630万円で販売されている - GIGAZINE

3億4000万件分の個人情報が公開サーバー上に保存されていたことが判明、被害範囲は「ほぼすべてのアメリカ人」か - GIGAZINE

全16サイトから盗まれた6億人分のアカウント情報がダークウェブで販売開始へ - GIGAZINE

Twitterで「いいね」をクリックしただけで勤務先のホテルを解雇されてしまった男性 - GIGAZINE

テザリングを妨害して有料Wi-Fiネットワークの提供にいそしんでいたホテルに多額の罰金 - GIGAZINE

in ネットサービス,   セキュリティ, Posted by log1h_ik

You can read the machine translated English article here.