旅行業界が直面するセキュリティ問題を専門家が分析、サイバー犯罪に備えるべきことは?【外電コラム】

米国信用会社エクィファクス(Equifax)、ヤフー、イーベイなど、世界大手ブランドに共通するのは、サイバー犯罪のターゲットになったこと。いずれの場合も、何百万人という顧客に影響が出て、世界中が注目する大事件となった。だがニュースにならないだけで、規模は小さいが同様の犯罪が、業種を問わず毎日のように起きている。

その結果、顧客データが不正アクセスにさらされるだけでなく、企業ブランドの好感度や売上高にも損害がでてしまう。

旅行業界でも、こうした被害に遭った大手企業は少なくない。2017年だけでも、オービッツ、セーバー、IHG(インターコンチネンタル・ホテルズ・グループ)、デルタ航空、ハイアットホテルズの各社が違法行為の標的になった。

企業側の弱点は色々だ。例えば、歴史ある有名ブランドながら、使っているのは旧式なレガシーシステムで、十分なセキュリティ対策ができていない。データを特定のデータベースで集中管理しているのも危ない。一回のハッキングが膨大なデータ流出につながりかねない。

旅行会社のシステム上では、年間に数十億ドル規模の取引が行われ、個人を特定できる情報も、何億人分ものデータが流れている。サイバーセキュリティは、避けることはできない重要な問題だ。

旅行会社のブランド力を左右するのも、今や「データ」。パーソナルかつシームレスな顧客対応を実現するのにデータ管理は欠かせない。顧客の過去の利用履歴や決済情報がすでに自社システムに入っていれば、ホテルや航空券の予約にかかる手続きがずっと楽になる。

問題は、データの処理や保管業務のマネジメント方法だ。犯罪からの防御は当然だが、今年5月25日からはGDPR(EU一般データ保護規則)も遵守する必要がある。今回はプライバシーとセキュリティの観点から、この問題について色々な角度から考えてみよう。まずサイバーセキュリティの専門家2人の見解を聞いた。

いま、旅行業界で何が起きているか

パスワード管理会社のダッシュレーン(Dashlane)が5月2日に公表したレポートによると、旅行関連サイトの89%でパスワード管理に問題があり、顧客のアカウントがハッカーからの攻撃にさらされる危険があるという。ダッシュレーンでは、世界でもっとも有名な航空会社、ホテル、レンタカー、クルーズ、オンライン旅行会社など55社のサイトを対象に、パスワードのセキュリティについて、計5項目をチェックした。

すると、計5項目中少なくとも4項目で合格(同社が定める最低限のレベル)だったサイトは、ヒルトン、マリオット、ユナイテッド航空、ハワイアン航空、ロイヤルカリビアン、エアビーアンドビーのわずか6社。このうちエアビーのみが全5項目で合格だった。

また、ログイン時に2段階認証を採用しているのは、エアビーとブッキングドットコムの2社だけだった。

一方、インテリジェンス・セキュリティ会社のトラストウェーブ(Trustwave)では、2017年に犯罪被害にあった世界21か国の企業・団体など数千社を対象に行った調査結果を「2018年グローバルセキュリティ・レポート」にまとめた。同レポートによると、ホスピタリティー産業は、業種別で3番目に被害が多く、全体の12%を占めた。ちなみに最も多かった業種はリテール(17%)、次いで金融・保険業(13%)。

同社の危機対策インテリジェンス担当マネジャー、カール・シグラー氏は「カードを機械に通したり、セキュリティチップを利用したり、チケットをオンラインで購入する光景はもはや日常だが、そのすべてが犯罪者にとっては美味しい獲物。最終的に換金できるものがターゲットで、狙われやすいのはクレジットカードの取り扱いが多いところ」と指摘している。

オンライン取引がメインターゲットに

店舗営業している企業を狙ったサイバー犯罪は減少傾向にあり、2017年は販売店での被害は3分の1ほど減少した。しかし電子商取引ではむしろ増加中とシーゲル氏は話す。トラストウェーブが最近実施したプログラムの監査では、「対象となったすべてのウェブアプリケーションで何かしらの脆弱性が見つかり、問題箇所の数の中央値は11だった」(同氏)。

昨今のウェブサイトやモバイル用インターフェースは、パーソナル対応機能を充実させる方向へと進化しているが、これに伴い、仕組みも複雑化するため、むしろ脆弱性は高くなることが懸念されている。

当然のことながら、トラベル関連各社にとってこうした現状は非常に問題だ。旅行者からも、ライバル企業との競争という観点からも、パーソナル対応が可能なデジタルインターフェースの提供を迫られるなか、データの収集と蓄積は避けて通れない課題だ。

サイバーセキュリティ会社、ブルーボヤント(BlueVoyant)のサイバー犯罪対応グローバル責任者、オースティン・バーグラス氏は「企業側には、情報を守る責任がある」と指摘する。

「コンテンツ管理プログラムやウェブサイトのセキュリティに問題点はないか、脆弱性のチェックを頻繁に行っているか。さらにウェブサイトと集めた個人情報は完全に切り離し、万が一犯罪者がウェブに侵入しても個人情報にはアクセスできない保安体制を徹底しているか」、「もしも企業側が定期的に脆弱チェックや侵入テストを実施していないなら、まずい状況だ。犯罪者の考えそうなこと、やりそうな手口を想定し、備えておく必要がある」(バーグラス氏)。

犯罪者と企業の「いたちごっこ」

新しいテクノロジーが次々に登場し、企業間の競争も激化するなか、とにかく「業界初」を最優先する風潮があるが、こうした姿勢はセキュリティの弱点を突かれる事態を招きかねない。

「最新のテクノロジーを目の当たりにし、『ぜひ当社でも』とはやる気持ちは分かる。しかし商品に活かす前に、まずリスクを最小限に抑える対策は考えられているか? 万一に備えた補完統制は整っているだろうか? 答えはノーの場合が多い」とバーグラス氏。

その上、サイバー犯罪はかつてないほど高度になっている。犯罪者たちは往々にして根気強く、十分な時間と資金があり、昼夜を問わずに狙ったターゲットへの侵入を試みる。

トラストウェーブ社のグローバルセキュリティ・レポートでは、ホスピタリティー産業を狙った新しい頭脳犯罪事例も紹介している。「昨年、ホテルやレストランでよくあるのが電話を使ったフィッシング詐欺。犯人は、サイバー強盗集団カーバナックに関係しているケースも多い。その手口は、まずターゲット企業に電話をかけ、当該企業のウェブサイトで予約がうまくできないと苦情を言い、詳細をメールするからと言って、担当スタッフのアドレスを聞き出す。その後、有害なファイルを添付したメッセージを送信、相手にそれを開封させた上で、電話を切る」。

シグラー氏は「我々がより有為な対策を打ち出すと、犯罪者も作戦やテクニックを変えてくる。双方が修正を加え続ける“いたちごっこ”だ」と話す。

重要なのは「3本の脚」、取り組むべき対策を理解せよ

セキュリティ対策の専門家たちは、今やどの企業がサイバー犯罪の標的になってもおかしくない時代であり、問題は「いつ」狙われるかだ、と口を揃える。予算、人員補充、新プロダクト開発など、あらゆる面でセキュリティ対策を何より優先する取り組みと、しっかりしたファイヤーウォールの維持、定期的な不正侵入テストの実施が、リスク最小化につながる。

「ログデータの管理に必要な人材や予算、ノウハウがあり、万一の場合に自社内ですぐ不正アクセスを探知できる体制が整っていれば、犯罪行為の割り出しと復旧作業にかかる時間は1~2日程度で済む」とシグラー氏は説明する。

「しかしこうした体制がない場合、第三者が不正侵入に気づき、指摘するまで、事態は放置され、時には何カ月間も犯罪行為は野放しになる。当社が扱ったケースでは、数年間も気づかなかった事例が複数件ある」

万一の場合は、社内対応はもちろん、社外からの支援体制も必要になるため、包括的な対応策も講じておく必要がある。バーグラス氏は、その在り方を「3本脚のスツール」に喩える。

「一本目はデータの機密性を専門に扱う外部の顧問。次に、調査やリスク軽減対策を担当する法律事務所。三本目は広報を担当するPR事務所。企業が重大問題発生時の対策プランを作る場合、必ず入れておくべき項目だ」。

同じく有事の対応として、シグラー氏は企業に対し、何よりも透明性の確保に取り組むべきだと提案する。できるだけ早く、あらゆる詳細情報を公開する方が、企業イメージの回復に役立つとの考えだ。

「我々も色々と学んできたし、企業側もセキュリティ対策への意識が本当に高くなり、その効果が表れている。とはいえ、犯罪がゼロになることはない。銀行の店舗に押し入る強盗事件が後を絶たないのと同様、サイバー空間でも、犯罪が完全になくなることはあり得ない」。

次回のコラムでは、いよいよ運用開始が目前のGDPRについて詳しく触れよう。

※編集部注:この記事は、世界的な旅行調査フォーカスライト社が運営するニュースメディア「フォーカスワイヤ(PhocusWire)」に掲載された英文記事について、同編集部から承諾を得て、トラベルボイス編集部が日本語翻訳・編集しました。

※オリジナル記事:Unlocking travel security, part 1: The threat landscape


著者:ミトラ・ソレルズ(Mitra Sorrells) シニアレポーター

みんなのVOICEこの記事を読んで思った意見や感想を書いてください。

観光産業ニュース「トラベルボイス」編集部から届く

一歩先の未来がみえるメルマガ「今日のヘッドライン」 、もうご登録済みですよね?

もし未だ登録していないなら…