編集部からのお知らせ
宇宙ビジネスの記事まとめダウンロード
記事まとめ「テレワーク常態化で見えたこと」

多くのホテルの予約システムに情報漏えいリスク、調査で明らかに

Alfred Ng (CNET News) 翻訳校正: 編集部

2019-04-12 11:33

 ホテルを予約すると自動的に予約情報を確認するメールが送られてくるが、その情報を見ることができるのは予約した当人だけではないかも知れない。

 セキュリティ企業のSymantecは、何百ものウェブサイトにセキュリティホールを発見したと発表した。これらの問題が悪用されると、名前や電話番号、パスポート番号、確認用の電子メールアドレスなどの個人情報が流出してしまう可能性がある。

 Symantecのセキュリティ研究者Candid Wueest氏は、54カ国のホテルのウェブサイトを1500以上調べたところ、約3分の2に問題が見つかったと述べている。

 Wueest氏によれば、ホテルは多くの個人情報を持っているが、ホテルのウェブサイトから情報漏えいが起こる事件が相次いでいる。問題の1つは、ホテルが宿泊客に送信しているメールに埋め込まれているURLにある。約850のホテルのウェブサイトでは、認証の手続きを経ずに予約の詳細情報を閲覧できるようになっており、URLを知っていれば、誰でも宿泊客の個人情報を手に入れられるという。またそのうち約3分の1では、予約番号がURL自体に埋め込まれていた。

 そのURLを見られるのが宿泊客本人だけであればそれほど問題はないが、ホテルのウェブサイトには広告やサードパーティーのアナリティクスツールが埋め込まれているため、それらのサードパーティーもURLを入手可能できる。この情報が悪意のある目的で情報を収集するために利用される可能性がある。

 予約番号が分かっていれば、攻撃者がホテルのサイトで予約番号を入力するだけで、その予約に関するすべての個人情報を入手できる場合もある。

 また、一部のホテルのサイトには、総当たり攻撃に対する脆弱性が存在していた。これは、あり得る予約番号の組み合わせをすべて試してみることで、情報を入手できるということだ。実際Wueest氏は、ホテルのウェブサイトに対して総当たり攻撃を行い、有効なすべての予約の情報を調べることができる複数の事例に出くわしたという。

 同氏は、これらのセキュリティ上の問題が発見されたすべてのホテルに連絡を取ったが、その約4分の1は警告を6週間以上無視したと述べている。Wueest氏はホテルに対して、URLに予約情報を平文で埋め込むのをやめること、予約確認ページに認証の仕組みを導入することを推奨している。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. クラウドコンピューティング

    MITスローン編著、経営層向けガイド「AIと機械学習の重要性」日本語版

  2. クラウドコンピューティング

    AWS提供! 機械学習でビジネスの成功を掴むためのエグゼクティブ向けプレイブック

  3. クラウドコンピューティング

    DX実現の鍵は「深層学習を用いたアプリ開発の高度化」 最適な導入アプローチをIDCが提言

  4. セキュリティ

    ランサムウェアを阻止するための10のベストプラクティス、エンドポイント保護編

  5. セキュリティ

    テレワークで急増、リモートデスクトップ経由のサイバー脅威、実態と対策とは

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]