ホテル予約サービス、「バックドア」から情報漏洩

仏ファストブッキングが提供するホテル予約サービスからの情報漏洩は、サービスの管理サーバーに仕掛けられたバックドアによるものだった。同社が2018年6月28日、日経 xTECHの取材に対して明らかにした。

ファストブッキングが6月26日に情報漏洩を発表した時点で原因は不明だったが、その後の調査で、外部からサーバーのデータにアクセスできるようにするプログラム（バックドア）を管理サーバー上で発見したという。バックドアを仕掛けられた経緯やバックドアの挙動については、同社が依頼したセキュリティ会社が調査中で不明だとしている。

同社は今回、日本国内にある401のホテル施設の利用客の個人情報やクレジットカード情報が合計で32万5717件漏洩したと発表しているが、被害に遭ったホテル名は明かせないという。一方、国内のホテルを運営する10社以上（イシン・ホテルズ・グループ、グランビスタホテル&リゾート、セルリアンタワー東急ホテル、東京ドームホテル、日本ビューホテル、ニュー・オータニ、阪急阪神ホテルズ、藤田観光、ブライトンコーポレーション、プリンスホテル、ブルーウェーブ、ロイヤルホールディングス）が6月28日までに情報漏洩を発表した。ただ、発表されたホテルの施設数は200にも満たず、被害に遭った半分以上のホテル名が依然不明なままである。

被害は海外のホテルでも発生したが、ファストブッキングは日本語表示以外のウェブサイトで情報漏洩の事実を発表していない。「日本国内のホテルへの影響が最も大きく、日本が最重要市場の一つなのでいち早く発表した」としている。

（日経 xTECH/日経NETWORK　齊藤貴之）

［日経 xTECH 2018年6月28日掲載］