高級ホテル・ハイアット、客のクレジットカード情報漏洩の恐れ…所有者名やカード番号も

文＝三上洋／ITジャーナリスト

【この記事のキーワード】#情報漏洩, #パークハイアット東京クレジットカード, #IT漂流時代

　世界的な高級ホテルチェーン・ハイアットで、レジ決済時にクレジットカード情報を抜き取るマルウェア（コンピュータウイルス）が発見された。日本のハイアットリージェンシー箱根リゾート＆スパ、ハイアットリージェンシー京都、パークハイアット東京、アンダーズ東京の4拠点も被害に遭っており、クレジットカード番号・セキュリティコードなどが盗み取られた可能性が高い。レストランなどでクレジットカードを利用した人は、漏洩の危険性がある。

　POSレジで情報を抜き取るウイルスのことをPOSマルウェアと呼び、3年ほど前からアメリカを中心に被害を広げている。日本ではマルウェアは見つかっているものの、今まで実際の被害は確認されていなかった。今回の事件がPOSマルウェアだとすると、日本では初めて被害が公に確認されたPOSマルウェアとなる。

　この発表が行われたのは1月15日（米時間14日）で、ハイアットからプレスリリースが出された。

高級ホテル・ハイアット、客のクレジットカード情報漏洩の恐れ…所有者名やカード番号もの画像1

ハイアットによるPOSマルウェア感染のプレスリリース。12月にマルウェア感染がわかっていたが、1月14日に日本でも被害があることが発表された

ハイアットでのマルウェア感染状況

・2015年11月、決済処理システムにおけるマルウェア感染を確認。調査の結果、日本国内の4拠点を含む54カ国と地域250拠点でマルウェア感染を確認（日本時間16年1月15日発表）

・日本国内で被害が確認されているのは、ハイアットリージェンシー箱根リゾート＆スパ、ハイアットリージェンシー京都、パークハイアット東京、アンダーズ東京の4拠点。

・日本で被害に遭う可能性があった期間は以下の通り。この期間にハイアットを利用した人は注意する必要がある。

（1）ハイアットリージェンシー箱根リゾート＆スパ：15年8月5日から10月14日
（2）ハイアットリージェンシー京都：15年8月13日から10月14日
（3）パークハイアット東京：15年8月13日から12月8日
（4）アンダーズ東京：15年8月13日から12月8日

・15年8月13日～12月8日に主に施設内レストランを中心に、店頭で使われていたカード情報への不正アクセスを確認。

・少数のカードについては、スパ、ゴルフショップ、駐車場、フロントデスクなどでも使われており、15年7月30日かその直後からリスクにさらされていた。

・感染していたマルウェアが窃取していたのは、カード所有者名、カード番号、有効期限、セキュリティコード。

・漏洩カード情報件数については発表していない。上記期間中被害に遭った拠点で使われていたクレジットカードについてはリスクがあると発表。

・各国、州政府に連絡をするとともに、FBIによる捜査に協力中。所在が把握できている被害者には書面でコンタクトを開始するとのこと。

　このようにパークハイアット東京、ハイアットリージェンシー京都など、有名な高級ホテルでの被害が出ている。クレジットカードで重要であるセキュリティコードまで抜き取られているのが深刻だ。

レジでのクレジットカード情報漏洩は企業の大きなイメージダウンに

　POSマルウェアは、13年にはアメリカの大手スーパー・ターゲットで大きな被害が出ている。店頭のレジ・決済処理システムにマルウェアが感染し、利用者のクレジットカード情報を盗み取る手口だ。

　レジというと特殊なシステムを使っているように思えるが、実際にはWindowsなど汎用OS（基本ソフト）を使っているものが多く、脆弱性と呼ばれる弱点を攻撃されてマルウェアに感染し、情報漏洩が起きてしまうものだ。

　ハイアットでの感染原因は判明していないが、ハイアットで使われていたレジになんらかの脆弱性があって、マルウェアに感染した可能性が高い。

　日本で被害が公に確認されたのはハイアットが初であるが、マルウェア自体は以前から国内でも見つかっている。下のグラフはトレンドマイクロによる「POSを標的にした不正プログラムの検出台数」で、14年は8件にすぎなかったが、15年は46件と増加している。

高級ホテル・ハイアット、客のクレジットカード情報漏洩の恐れ…所有者名やカード番号もの画像2

トレンドマイクロによるPOSを標的にした不正プログラムの検出台数。日本でも15年に入って検出台数が増えている

　検出台数が増えていることから、今後は日本でもさらにPOSマルウェアの被害が出るかもしれない。もし情報漏洩が起きた場合、クレジットカードが不正利用される可能性が高くなる。我々ユーザーは、クレジットカードの利用明細をよくチェックして、不正利用がないか常に確かめたほうがいいだろう。

　またレジを使う事業者・企業の対策も重要だ。レジでクレジットカード情報が盗み取られたとなると、大きなイメージダウンとなって収益に大きな影響が出る。POSマルウェアへの対策がしっかりできているか、システムを再点検する必要がある。

　なお今回の被害について、ハイアットの日本オフィスでは「クレジットカード情報を収集するマルウェアがみつかった。今のところ情報が流出したかどうかはわからないが、流出した可能性がある。利用されたお客様は、クレジットカード情報の確認をお願いしたい」としている。宿泊客で住所氏名がわかる人には郵送で、メールアドレスが分かる場合にはメールで案内をしているが、レストランだけの利用の場合は通知ができないため、プレスリリースなどで広く呼びかけているとのことだ。

　ハイアットの日本オフィスは「この度はお騒がせして大変申し訳ありません。今後調査した詳しいことが分かり次第、公表していいきます。またセキュリティ対策を徹底し再発防止に努めます。」とコメントしている。
（文＝三上洋／ITジャーナリスト）