中国のホテルチェーン宿泊情報漏洩で考える数億人単位の最悪な組合せ
大手のホテルチェーンだから漏洩規模が大きいのでしょうね。詳細な漏洩情報が少ない中、いろいろなアプローチで様々な見方、捉え方があると思います。諸々な個人情報もそうですがコレ系の漏洩の場合、もっと最悪な組合せがあると考えます。
中国の大手ホテルHuazhu、1億3000万人の宿泊客情報が流出か
Huazhuは中国全土で系列ホテルを展開する大手チェーン。Bleeping Computerによれば、ダークWebで情報を売りに出した人物は、同ホテルに宿泊した約1億3000万人の情報を盗み出したと主張し、8ビットコイン(約600万円)で販売すると持ちかけているという。
登録したメアド、サイトへのログインパスワード、宿泊カードに記入する自宅住所や連絡先等々、もちろん決済関連のカード情報も含むようです。漏洩原因は誤ってデータベースをGitHubにアップしてしまったことのようです。
また別なニュースサイトでは、5億件という更に多い漏洩件数も出ていました。
5億件の顧客情報漏えいか 中国最大のホテルチェーン華住酒店集団
掲載された情報によると、売買されている情報は3種類。一つ目は華住公式サイトの資料で顧客の氏名、身分証番号、登録パスワードなどを含みデータ規模は53ギガバイト、おおよそ1.23億件の記録を含む。二つ目は顧客が宿泊時に登録した情報で、宿泊客の氏名、ID番号、生年月日などを含み、22.3ギガバイト、約1.3億人の個人情報を含む。三つ目はホテルの開室記録で、氏名、カード番号、消費金額などを含み66.2ギガバイト、約2.4億件の記録だという。
上記の記事を読むと足し上げると5億件のようです。小分けにしたデータは重複してそうで、売る側が分けたのか漏洩データが3つだったのか不明ですが、こういう分類になったようです。
1.データ量は141.5ギガ
5億件のデータも、文字情報だと140ギガくらいなのですね。スマホに入れる爪の大きさ程度のマイクロSDカードでも1万円以下で購入できそうです。これほどのニュースで今後もっと問題は大きくなる漏洩事件のデータでも、普通に買えるものに入れられる量でスマホに隠せそうな(既に入れている程度の)ものと考えると、ちょっと恐ろしいです。旧時代の大げさなイメージだと段ボール箱でも数個くらい、簡単に持ち出せなさそうな感じがします(それは一体いつの時代の話か?
2.個人情報と決済情報
やはり情報漏洩なので個人情報とか決済情報は、かなりの確率でセットになってきます。単に1件の氏名だけならば何とも繋がりませんが、住所、生年月日、身分証番号などと、決済情報が組み合わさってくると利用価値の高い有益な情報へ変わっていきます。面倒ですがカード番号は変えればいい(と言っても他の定期決済の全部に連絡しなければならない/経験談)だけですが、それ以外の氏名や生年月日など変えられないし、住所も度々変えることは容易でないです。
3.注目したいのは消費金額
上記1と2よりも、もっとヤバイと思うのがその組合せと思います。以前にあった事例だと宿泊御礼の手紙郵送で届くことです。その時期にその場所に居てはいけない状況だったりとかw、例えば東京からみて北に行っているはずなのに、沖縄から手紙が届いたりとあってならない状況などなど。
その昔、携帯電話が普及する約30年位前、まだ自動車電話の時代(ちょうど肩掛けのショルダーホンを持ち歩いてたころ)ですが、居場所のエリアが変わるとアナウンスが流れる時代がありました。030-XX-みたいな番号でXXは物理的な地域で番号が変わり、電話かけた側にそれがわかってしまうということが普通にあった頃、伝えてある行き先と、アナウンスされた居場所が合わなかったために、大変なことになった方々を多く知っていますw どこ行ってんねん!って
またホテルでの消費金額も明細までなくとも、宿泊の組合せによってはあり得ない金額のこともあるはずです。仮に明細まで漏れていれば、かなりの状況が見えてきます。宿泊カードに1人しか書かなくとも、消費金額(あれば明細)で見えるものもあるはず。
関連ブログ:EU一般データ保護規則(GDPR)施行から1ヶ月で気になった2件の漏洩
組合せ情報の価値
情報の断片はパズルのピースのようなもので、1つずつのバラバラな状態ではよくわからないものが、組み合わさり繋がっていくと鮮明に見えてきます。パズルだとこれから繋げていく先のイメージが出来るように、情報も積み重なり繋がっていくと似たように深さが増していきます。
Web上のサービスや、今回のように宿泊施設の利用等、普通にありますが今回のような漏洩事故は誰にも避けられません。自分で注意できることと、その範囲が及ばないこと。せめて自分で出来る事だけは日頃からしておきたいものです。