マリオットは本日、フォレンジックおよびデータアナリストのチームが、失われたゲスト予約レコードの総数の「上限として約383億XNUMX万レコード」を特定したと述べました。 同社は、誰が攻撃を実行したのかまだわからないと述べており、重複するレコードがさらに特定されるにつれて、この数字は時間の経過とともに減少するだろうと示唆しています。
スターウッドの攻撃が異なったのは、パスポート番号の存在でした。これにより、諜報機関が国境を越えた人々を追跡するのがはるかに簡単になりました。 これはこの場合特に重要です。2014月、ニューヨークタイムズ紙は、この攻撃は中国の情報収集活動の一環であり、XNUMX年にさかのぼり、米国の健康保険会社とセキュリティを維持する人事管理局もハッキングしたと報告しました。何百万人ものアメリカ人のクリアランスファイル。
これまでのところ、不正取引でパスポートやクレジットカードの情報が盗まれたという事例は知られていません。 しかし、サイバー攻撃の捜査官にとって、これはハッキングが犯罪者ではなく諜報機関によって行われたことを示すもうXNUMXつの兆候です。 政府機関は、経済的利益のためにデータを利用するのではなく、データベースを構築し、政府または産業の監視対象を追跡するという独自の目的でデータを使用したいと考えています。
まとめると、この攻撃は、中国国家安全保障省による、政府や業界の機密性の高い立場にあるアメリカ人やその他の人々の膨大なデータベースを作成するための広範な取り組みの一環であるように見えました。 、そして彼らが旅行する場所。
「ビッグデータは防諜の新しい波です」と、ワシントンの戦略国際問題研究所で技術政策プログラムを運営しているサイバーセキュリティの専門家であるジェームズA.ルイスは先月述べました。
マリオットインターナショナルは、当初恐れられていたよりも盗まれた顧客記録は少ないと述べたが、先月のサイバー攻撃で25万以上のパスポート番号が盗まれたと付け加えた。 同社は本日、史上最大の個人情報のハッキングは最初に恐れられたほど大きくはなかったが、スターウッドホテルユニットが約5万人のゲストのパスポート番号を暗号化していないことを初めて認めたと述べた。 これらのパスポート番号は、多くの外部専門家が中国の諜報機関によって実行されたと信じている攻撃で失われました。
500月末にマリオットが最初に攻撃を明らかにしたとき、マリオットが買収した主要なホテルチェーンであるスターウッドの予約データベースから、XNUMX億人以上のゲストに関する情報が盗まれた可能性があるとのことでした。 しかし当時、同社は、何百万もの重複レコードが含まれていたため、この数字は最悪のシナリオであると述べていました。
修正された数字は依然として史上最大の損失であり、145.5年に運転免許証と約2017億XNUMX万人のアメリカ人の社会保障番号を失い、最高経営責任者の追放につながった消費者信用報告機関であるEquifaxへの攻撃よりも大きいそして会社への信頼の大きな喪失。
中国国家安全保障省の最高責任者のXNUMX人は、昨年末にベルギーで逮捕され、米国の防衛関連企業のハッキングで中心的な役割を果たしたとして米国に引き渡されました。 XNUMX月。 しかし、これらの事件は、FBIがまだ調査しているマリオットの攻撃とは無関係でした。
中国はマリオットの攻撃に関する知識を否定しています。 XNUMX月、外務省のスポークスマンであるGeng Shuangは、「中国はあらゆる形態のサイバー攻撃に固く反対し、法律に従って取り締まる」と述べた。
「証拠が提示された場合、関連する中国の部門は法律に従って調査を実施します」とスポークスマンは付け加えました。
マリオットの調査により、ホテルシステムに新たな脆弱性が明らかになりました。顧客がホテルを予約またはチェックインし、通常は海外でパスポートを事務員に渡すと、パスポートデータはどうなりますか。 マリオットは初めて、5.25万のパスポート番号が暗号化されていないプレーンなデータファイルでスターウッドシステムに保存されたと述べました。つまり、予約システム内の誰でも簡単に読み取ることができます。 追加の20.3万のパスポート番号が暗号化されたファイルに保持されていたため、読み取るにはマスター暗号化キーが必要でした。 米国のパスポートに関係する人の数と他の国から来た人の数は不明です。
マリオットは声明のなかで、「許可されていない第三者が、暗号化されたパスポート番号を復号化するために必要なマスター暗号化キーにアクセスしたという証拠はありません」と述べています。
一部の番号が暗号化され、他の番号が暗号化されなかった理由はすぐにはわかりませんでした。ただし、各国のホテル、場合によっては各プロパティで、パスポート情報を処理するためのプロトコルが異なっていました。 インテリジェンスの専門家は、米国の諜報機関が米国外で追跡している外国人のパスポート番号を探すことが多いと指摘しています。これは、米国政府が世界中でパスポートデータのより強力な暗号化を主張していない理由を説明している可能性があります。
スターウッドのデータをマリオットの予約システムに統合した現在、マリオットが情報をどのように処理していたかを尋ねられました。この統合は2018年末に完了したばかりです。会社の広報担当者、コニーキムは、次のように述べています。パスポート番号のユニバーサル暗号化に対応し、システムベンダーと協力してその機能をよりよく理解し、適用される国および地域の規制を確認します。」
国務省は先月、パスポート所持者にパニックにならないようにとの声明を発表した。番号だけでは誰かが偽造パスポートを作成することはできないからだ。 マリオットは、システムからハッキングされたパスポート情報が詐欺に関与していることが判明した人には、新しいパスポートの代金を支払うと述べています。 しかし、それは企業の手先の早業のようなものでした。なぜなら、彼らのデータが外国のスパイによって取得されたという理由だけで、新しいパスポートを必要とするゲストには適用されなかったからです。
これまでのところ、同社は攻撃者が誰であるかについての証拠がないと言ってその問題に対処することを躊躇しており、米国はこの事件で中国を正式に非難していません。 しかし、侵害を調査した民間のサイバーインテリジェンスグループは、当時進行中の他の中国関連の攻撃と強い類似点を見てきました。 同社の社長兼最高経営責任者であるArneSorensonは、公の場でのハッキングに関する質問には答えていません。マリオットは旅行中であると述べ、タイムズからのハッキングについての話を拒否しました。
同社はまた、約8.6万枚のクレジットカードとデビットカードがこの事件に「関与」したと述べたが、それらはすべて暗号化されており、何年も続いたハッキングが発見された354,000年2018月までにXNUMX枚を除くすべてのカードが期限切れになった。
この記事からわかること:
- One top official of the Chinese Ministry of State Security was arrested in Belgium late last year and extradited to the United States on charges of playing a central role in the hacking of U.
- Taken together, the attack appeared to be part of a broader effort by China's Ministry of State Security to compile a huge database of Americans and others with sensitive government or industry positions — including where they worked, the names of their colleagues, foreign contacts and friends, and where they travel.
- The company said today that the biggest hacking of personal information in history was not quite as big as first feared but for the first time conceded that its Starwood hotel unit did not encrypt the passport numbers for roughly 5 million guests.
