あるホテル予約プラットフォームが、全世界で少なくとも1000万人分のユーザーデータと詳細情報を公開しました。過去7年間にオンライン予約サイトで部屋を予約した人なら誰でも影響を受ける可能性があります。

ここでは、この大規模な情報漏洩について知っておくべきこと、これがあなたにどのような影響を及ぼすか、そしてあなたがそれに対して何ができるかを説明します。

どの旅行予約サイトが影響を受けるのですか？

ホテル予約システムを担当するスペインのプレステージソフトウェアが、数年分の宿泊客データを誤った設定のAWS S3ストレージバケット（一般的なクラウドストレージリソース）に保存していたことが判明しました。

以下のサイトでアカウントをお持ちの方は、データの保護に努めてください。

• アゴダ
• アマデウス
• ブッキング・ドットコムのウェブサイト
• エクスペディア株式会社
• ホテルホームページ
• ホテルベッド
• 全方位型
• ナイフ

より多くの人が影響を受けていますが、これらは最も劇的なものです。

データ漏洩を暴露したウェブサイトPlanetは、すべての暴露されたデータを確認していないので、これは完全なリストではありません、もっとあるかもしれません。これは、人気のあるホテル予約プラットフォームを使用していたかもしれない他の小規模またはあまり知られていない予約サイトにも影響を与える可能性があります。

過去数年間に旅行されたことのある方は、オンラインで予約され、影響を受けるウェブサイトのいずれかに詳細を残されていないか、ご自分のアカウントをご確認ください。

どのような顧客情報が流出しているのか？

2013年からの少なくとも1000万件のログファイルが侵害されました。s3バケットはまだ有効で使用されており、サイトプラネットが発見してから数時間は、新しい顧客のログインが記録されていました。

公開される機密情報の中には、お客様のフルネーム、電子メールアドレス、電話番号、あるいは国民ID番号など、個人を特定できる情報（PII）が含まれます。パスポート番号をオンラインで入力した覚えはありますか？

クレジットカード番号、カード所有者名、有効期限、CVVなどの支払い情報が記載されています。

また、宿泊日、1泊の料金、追加条件、人数、もちろんゲストの名前など、予約の詳細が表示されます。誰にも知られたくない秘密の「デート」があれば、悩むはずです。

サイバー犯罪者はあなたの情報をどう利用するのか？

Site PlanetはAWSに直接連絡し、その後すぐにS3バケットを確保しました。しかし、自分たちよりも先にデータを見つけた人がいるかどうか、判断がつかなかった。

つまり、この記事を読んでいる時点で、あなたの情報はすでにダークウェブで売買されている可能性があるのです。サイバー犯罪者があなたの情報をどう扱うか知りたいはずです。

このようなデータは、サイバー犯罪者にとっては金鉱のようなもので、豊富な情報を自由に使ってあなたを脅迫する以外にありません。

オンライン個人情報保護

情報漏えいというと、まず思い浮かぶのが「なりすまし」です。

サイバー犯罪者は、あなたの情報を使って、あなたの名前やクレジット限度額で新しいクレジットカードを作ることができます。彼らはあなたのクレジットカードやデビットカードを使って買い物をしたり、あなたのIDを使ってアパートを借りたりすることができます。一部の人は、健康保険や医療を受けるためにあなたの情報を使用することができます。

フィッシング

サイバー犯罪者は、フィッシング・キャンペーンにあなたの電子メールを含めることもできます。

また、彼らはあなたの銀行情報など他の情報も持っているため、クレジットカード番号を記載した、銀行から受け取ったように見える電子メールを**送ることができます。そして、マルウェアをコンピュータにダウンロードさせるために、悪意のあるリンクや添付ファイルを送ってくるのです。

あなたの情報を使って、あなたの友人や同僚があなたになりすまして、あなたのすべての連絡先に連絡を取り、危害を加えるかもしれないのです。お金を送ったり、感染したファイルをダウンロードさせたりするように仕向けるかもしれません。

その他、富裕層を狙った詐欺

また、詐欺師は、より巧妙な詐欺や恐喝のスキームで、高価なホテルの部屋を予約した（したがってより多くのお金を持っている）お客様をターゲットにすることができます。

情報漏えいの情報の多くは、個人のプロファイルを分析し、サイバー犯罪者にその後のスピアフィッシングやホエーリング攻撃を計画するのに十分な情報を提供するために使用することができます。

ホリデーテイクオーバー

このデータ流出には、今後の休暇に関するすべての情報が含まれていた。サイバー犯罪者は、これを利用してホテルに電話をかけ、予約の日付や名前を変更することができた。

そう、彼らはあなたの休日を引き継ぐことも、これらの予約を他の人に売ることもできるのです。

データが流出した場合、どうすればいいのでしょうか？

心配する必要があるのでしょうか？今のところ、この情報漏洩に起因するサイバー犯罪は報告されていません。しかし、流出したデータがウェブサイト「プラネット」以前に誰かに発見されたかどうかは知る由もないので、現時点では手をこまねいているしかないでしょう。

幸いなことに、できることがいくつかあります。

漏れの一部であるかどうかを確認する

2013年に旅行を予約した覚えはないかもしれませんが、特にGoogleアカウントから確認する方法があります。設定を確認して、「深刻なセキュリティ問題が見つかりました」というアラートが表示されていないか確認してください。これにより、今回の旅行データ流出を含め、部分的に流出した可能性のある、お客様のアカウントにリンクされているすべてのウェブサイトが一覧表示されます。

このセクションでは、パスワードが再利用されているサイトなど、他のリンク先のサイトもすべて確認することができます。パスワードの再取得は、ハッカーが1つのアカウントだけをハッキングして他のアカウントにアクセスすることを可能にするため、決して良いアイデアではありません。

そうでなければ、I've been pwne.を使って妥協するメールアドレスを見つけることができます。また、予約サイトの過去の使用履歴を受信トレイに検索することも価値があります。

フィッシングメールに注意する

不審なメールが届いていないか、受信トレイを監視する。

AVをアップデートして、添付ファイルのマルウェアやメールのフィッシングリンクを検出できるようにしてください。

他の人があなたの名前でアカウントを作ろうとしていることを示す可能性のあるメールや通知に注意してください。登録を促すメールや、他のアカウントの変更を知らせるメールを探してみてください。

その代わり、別のタブ、ブラウザ、デバイスを使用して公式サイトにアクセスしてください。

銀行に電話する

銀行に電話して、あなたの口座が最近の情報漏えいに巻き込まれた可能性があることを伝え、あなたの口座を保護するためにどのような支援ができるかを尋ねてください。

銀行のアプリケーションや機密情報を扱うウェブサイトでは、二要素認証（2FA）を設定しましょう。

クレジットフリーズ

また、信用情報にセキュリティ・フリーズをかけることも検討しましょう。そうすれば、ID泥棒があなたの名前で新しい口座を作ったり、与信枠を作ったりすることが難しくなります。

いいえ、凍結はあなたのクレジットスコアに影響を与えません。

関連：個人情報漏洩による信用情報の凍結を防ぐ方法

トラベルアカウントをひとまず放棄する

現在、世界の他の地域で封鎖が行われ、それが迫ってきているため、今、人々はあまり旅行しなくなるようです。旅行予約のアカウントを急遽削除し、再び旅行する際に新たに設定することを検討してください。

アカウントの監視

クレジットカードやデビットカードを監視し、不正な取引に注意する。 取引に見覚えがない場合、銀行または銀行に連絡する。

データを保護する

あなたのデータは貴重なものです。違法行為で捕まえようとする人がいることに注意してください。

情報漏えいに関する情報を入手し、自分の情報が漏えいしていないかどうかを確認する。古いアカウントを削除したり、セキュリティ設定を更新したりして、デジタル衛生を実践する。