今朝、マリオットホテルは、「不正な第三者」がスターウッドの予約データベースにアクセスし、約5億人の宿泊客の情報を盗み出したと発表しました。ホテルチェーンは当局にこの情報漏洩を報告し、影響を受けた各顧客が実際にどの程度の被害を受けたのかを調査するための長いプロセスに着手しました。
漏洩した情報は、ホテルにチェックインする際に提供しなければならない個人情報など、予想通りの内容がほとんどです。氏名、メールアドレス、電話番号、生年月日など、通常の情報漏洩で漏洩する可能性のある情報も含まれています。クレジットカード情報も一部流出しましたが、チェーン店側は犯人が解読できるかどうかは不明だと述べています。しかし、通常とは異なるのは、パスポート番号も漏洩に含まれていたことです。この情報漏洩には、特有のリスクが伴います。
どのくらい深刻なのでしょうか?
「パスポートのデータは、運転免許証などよりも厳重に保管すべきものです」と、プライバシーとセキュリティに特化した非営利の公益研究団体、ワールド・プライバシー・フォーラムのエグゼクティブ・ディレクター、パム・ディクソン氏は語る。「最大の問題は、誰かがあなたの個人情報でパスポートを取得できれば、管轄区域を越えて移動できることです。最悪のシナリオは、あなたが海外旅行中に、誰かがあなたの名前で犯罪を犯してしまうことです。」
偽造パスポートは数十年にわたり闇市場で売れ筋商品となっており、偽造米国文書は、米国国内や海外旅行で米国市民になりすまそうとする者にとって、最高4,000ドル以上の価格で取引されています。偽造文書を携えて旅行することはますます困難になっていますが(詳細は後述)、パスポートは口座開設や居住証明などに必要な第二の身分証明書として機能します。
ハッカーはパスポート番号から何を知ることができるのでしょうか?
過去のハッキングとは異なり、マリオットへの情報漏洩は被害者の旅行習慣に関する多くの情報を明らかにしました。チェックインとチェックアウトの情報からハッカーは基本的な旅行履歴を推測できますが、パスポート番号はそれをさらに一歩進めます。国土安全保障省によると、このオンラインツールを使えば海外旅行を追跡できるとのことで、このツールは一般公開されています。このツールでは氏名、生年月日、パスポート番号を入力する必要がありますが、これらはすべてマリオットの漏洩情報の一部でした。
ディクソン氏によると、これは最適な標的を選ぼうとするハッカーにとって貴重な情報になり得るという。「あまり旅行に行かず、パスポートを引き出しにしまい込んでいるような旅行者なら、格好の標的になるかもしれません」と彼女は言う。「そうすれば、不正利用に気付かれる可能性が低くなります。」
詐欺パズルのピース
マリオットへのハッキングは、単なるバブルの話ではありません。情報セキュリティ・コンサルティング会社コンプライアンス・ポイントのサイバーサービス担当ディレクター、ゲイツ・マーシャル氏によると、2018年11月だけで約8億件の個人記録が侵害されており、ダンキンドーナツなどの企業も含まれています。「攻撃者はそれらの情報を集約し、ソーシャルメディアやその他の公共チャネルに既に存在する多くの公開情報と照合することができます」とマーシャル氏は言います。
偽造パスポートを入手する方法の一つは、古いパスポートの紛失・盗難届を出して、個人情報を使って新しいパスポートを申請することです。オンラインで新しいパスポートを申請する手続きは比較的簡単で、新しいストリーミングサービスに登録したり、商品を購入したりするのと同じようなフォームに記入するだけですが、いくつか追加の条件があります。
再申請で最も難しいのは、被害者の社会保障番号を入手することですが、Equifaxは今年初めに数百万件もの社会保障番号を漏洩しました。さらに、書類(直接提出することもできます)に記載されているすべての情報が、マリオットの漏洩情報の一部である可能性や、ダークウェブで販売されている身元情報の束に巧妙にまとめられている可能性もあります。
生体認証によって偽造パスポートは無効になるのではないですか?
世界中のパスポート税関システム、そして対応する空港やその他の旅行施設に組み込まれている生体認証保護の量は大幅に増加しましたが、サポート体制は依然として非常に不安定で、予測不可能です。2006年か2007年以降に米国のパスポートを更新した方は、生体認証が組み込まれている可能性が高いです。表紙に、中央に円が描かれた長方形のアイコンが表示されているので、すぐに分かります。これはセキュリティ強化の手段ですが、生体認証システムを欺く技術が既に登場しており、偽造パスポートが不正行為に利用される可能性が高まっています。
「モーフィングと呼ばれる技術のおかげで、偽造文書は生体認証を通過できるのです」とディクソン氏は言う。これは、画像編集技術を用いて被害者の顔と犯罪者の顔を合成し、基本的な顔認証、あるいはもっと簡単な、人間の警備員による簡単な一瞥で認証できるほどに似せるという手法だ。つまり、犯罪者は実顔を使うが、書類に添付されている写真は加工されているというわけだ。これが、現在ダークウェブ上に存在する自撮り写真の闇市場の原動力となっている。
現在のパスポートを更新すべきでしょうか?新しいパスポートの取得は比較的簡単な手続きで、新しいパスポートに固有の番号が割り当てられます。古い番号は、紛失や盗難による再発行の場合と同様に使用できなくなります。ただし、特にパスポートに旅行ビザが付与されている場合は、新しい番号を取得するとビザが失効するため、時間と費用がかかります。パスポートの有効期限が近い場合は、このタイミングで更新するのが良いでしょう。しかし、通常の1年よりも早く更新したい場合は、その理由を明確に説明する必要があるかもしれません。
