一流ホテルのカード情報漏えい事件

小売業で頻繁に起きているカード情報流出事件。さまざまな業種に及んでいるが、昨今はホテルなど観光業からの流出も目立っている。国際的なホテルチェーンでカード情報を含む個人情報の流出が頻発している。
特に2016年1月にハイアットが公表した流出事件は、日本人にもショッキングなものだった。なぜなら、流出元は54ヵ国、250拠点に及び、その中には日本国内4拠点が含まれるというのだ。原因はPOSマルウェアと公表されており、POS端末などの対面取引のカード情報が流出していることが確認されている。日本でのPOSマルウェアによるカード情報の流出はこれが初だったと言われている。この他にも下記の表の通り「一流」と呼ばれるホテルからの流出事件が続発している。

ホテルの「商習慣」が原因の1つ

なぜ、一流ホテルのカード情報が狙われるのだろうか。「ホテル業の商習慣が原因のひとつになっています」、ｆｊコンサルティングの瀬田陽介氏は解説する。それは「デポジット」だ。海外のホテルに宿泊する際には、チェックイン時にカードの提示を求められ、一定額のデポジットを決済する。チェックインの時点では、利用総額は確定していないため売上処理のためにシステムに宿泊者情報と合わせカード情報は保存される。このような習慣は、宿泊客に対する利便性とホテル側の業務効率の両者を考えたものだ。

宿泊客が、ホテル内のレストランやラウンジで飲食をしたり、ビジネスセンターやスパなどの施設を利用した場合、料金をいちいちカードを提示して支払うのではなく、ルームチャージとして集計し、チェックアウト時に総額をまとめて決済する。宿泊客には伝票にサインをしてもらうだけでいい。さらに言えば、宿泊客がチェックアウト後にレストランを利用したり、室内の高価な備品を壊していた場合でも、ホテル側はカードに請求できるのでとりっぱぐれがない。

宿泊客も都度払いの煩わしさがなく、これが滞在先の快適さにもつながるわけだが、ホテル側がいくらでもカードに請求できる状態になっているというのは気持ちがいいものではない。悪質な従業員が勝手にカード請求をしてしまうのではないか？などと不安にもなる。ただ、宿泊先が名の通ったホテルであれば、まさかおかしなことにはならないだろうと自分を納得させてクレジットカードを提示している人も多いのではないだろうか。

ちなみに、デポジットは現金で預けることでも可能だが、現金の場合は、実際の宿泊代を相当に上回る金額が要求される場合が多い。部屋の電話代やホテル内の施設を利用するなど宿泊以外の利用も想定した金額だと考えられる。結果的に利用者は、デポジットに現金ではなく、カードを選択することになるだろう。ホテル側からしても、カードは宿泊者の本人確認や一定の信用度がある客と確認できるという安心感もある。

Wi-Fiサービスが危ない

「ホテル業では、カード番号を宿泊客の顧客を特定する手段に使っているところが多いようです」（瀬田氏　以下同じ）。カード番号は、利用者が同姓同名の場合でも一意のIDとして顧客を特定するのに非常に便利である。また先ほどから述べている通り、ホテル側が業務上カード情報を保存する理由も理解できる。しかし、問題はホテルのセキュリティに対する認識だ。「今、どこのホテルでも宿泊客に対してWi-Fiサービスを提供しています。昨今では外国人観光客に宿泊してもらうためには必須の設備です。だからこそホテル業はもう一段セキュリティ意識を高めるべきです」。

おそらく大半のホテルでは、業務用ネットワークと宿泊客用ネットワークはファイアウォールなどで論理的に分離（セグメンテーション）している。しかし、それに脆弱性があったり、ファイアウォールポリシー次第では、不正侵入することは可能だ。そのファイアウォールを越えることができれば、業務用のネットワークに侵入し、専用線を経由してチェーン展開している世界中のホテルのPOS端末やサーバをマルウェアに感染させることも可能である。

また一流ホテルでは、カード情報のみならず政府や外国の要人を含む宿泊者の情報が流出すること自体が致命的である。Wi-Fiは、暗号鍵の運用次第で不特定多数の悪意を持った人間が利用できるということを強く意識して、宿泊客用と業務ネットワークを物理的に分離（アイソレート）するべきである。

マルウェアが情報を盗む

なおRAMスクレーパーというタイプのマルウェアは、POS端末やクレジット決済サーバのメモリを狙う。大手のホテルチェーンではカード情報はデータベースへの保存の際には暗号化されているが、決済処理時にはメモリの中で平文に展開されることが多いため、ここを狙って不正にカード情報を入手することができる。また専用線ネットワークを経由して集中して決済処理をしている形態では通信経路での暗号化を施していないところも多いという。平文で流れているカード情報を収集するのは非常にたやすいことだ。

「大規模な国際チェーンホテルでは、専門のシステム部隊がいて、セキュリティ対策を行っています。しかし、各ホテル施設にまでセキュリティ担当を配置しているところは多くないでしょう。現場ではどうしてもセキュリティ対策がおろそかになりがちです。各ホテル施設では個人情報を保存せず、データセンター側で集中してカード情報を含む個人情報をトークナイゼイションして保存するなども有効な対策でしょう」。

最近ではホテル業の業務特性やその脆弱性を知る悪意のハッカーが、ホテル業を狙い撃ちにしている感がある。2015年から相次ぐ大手のホテルチェーンの情報流出事件は、ホテル業のセキュリティ対策が新たな局面に入ったということを示すものと言えるだろう。（牧野 武文氏：2016/12/21）

PCI DSS Ready Cloudでは、PCI DSS v4.0への効率的な移行支援及び準拠を促進するクラウドサービスを提供しています。
是非一度、ご相談ください。
PCI DSS準拠を促進するクラウドサービスならPCI DSS Ready Cloud

■ PCI DSS の構築、維持・運用にかかるコストと工数を削減する
 
■ AWSでの開発事業者や外部ベンダー/事業者との専用線接続がない場合に最適
 
■ 国内トップクラスのPCI DSS専門のコンサルタント集団によるPCI DSS準拠支援サービス