6月下旬、セルリアンタワー東急ホテル、東京ドームホテル、ニュー・オータニ、阪急阪神ホテルズ、藤田観光、プリンスホテルなどの日本の大手ホテルチェーンが次々と「利用客の個人情報が漏洩した」と発表した。同じ時期に多数のホテルの予約者情報の流出が集中して不思議だと思ったが、理由はすぐにはっきりした。

これらのホテルは「外国人向け予約サイト」については同じフランスの「ファストブッキング」に業務委託しており、そのサイトのサーバーに「バックドア」が仕掛けられて情報を盗まれた。このうち、藤田観光の発表によると、日本人予約者の情報を管理している同社独自のサイトには影響がないという。

藤田観光によると、不正アクセスは6月中旬に2回。最初の攻撃で外国人利用客の名前や住所などの個人情報1万4567件が漏洩した。後の攻撃で暗号化されたクレジットカードのカード番号、有効期限、名前、と1万903件の情報が漏洩した。ファストブッキングの日本法人から藤田観光には、「クレジットカード情報が漏洩した利用客には、情報漏洩の事実とパスワードを変更するようにクレジットカード会社から通知した」と報告が来たという。

今回のケースでは、外国人の予約についてのみフランスのサイトを利用している、という適切な個人情報管理が行われていることが明らかになった。欧州の市民の個人情報を域外に持ち出すのは難しいため、欧州内のサービスを利用しているのだろう。一方、日本人利用者は海外のサービス会社ではなく、独自のサイトで管理しているために被害を免れた。藤田観光の独自サイトがどのようなものか分からないが、個人情報は国内で管理する、という原則に従っていると思う。適切な方法である。

今回は個人情報の管理に厳格な欧州のサイトが攻撃を受けたということである。法律や制度が厳格だからと言って、サイバー攻撃からの防御体制が頑丈というわけではなさそうだ。あるいは頑丈な防御体制を構築したつもりでも、攻撃側はそれを上回る方法で攻撃を仕掛けてくる。

日本のサイトもこうした巧妙、強力なサイバー攻撃を受ける不安がある。サイトの側に攻撃を跳ね返す防御体制を構築してもらいたいとは思うが、それでもなお破られた時にも、盗まれたものが「情報」ではないような防御手法も導入してもらいたい。情報の分散保管、秘密分散処理などのシステムを採用することを検討することが重要ではないか。攻撃されないような防御体制を構築するコストは際限なく増加する。秘密分散などの対応策の方がはるかに安く済みそうである。

ZENMUから始まる未来は、こちら