シェラトンやウェスティンなどの大型ホテルを世界で展開する米Starwood Hotels & Resorts Worldwideは、セキュリティ侵害により一部の顧客データが流出したことを現地時間2015年11月20日に明らかにした。

 同社の説明によると、北米にある「一部の限られたホテル」のPOSシステムがマルウエアに感染し、未承認のグループが一部顧客の決済カードデータに不正アクセスしたという。

 同社がフォレンジック専門家と協力して調査したところ、傘下ホテルのレストランやギフトショップなどのPOSシステムにマルウエアが侵入したことが確認された。

 マルウエアは、カード所有者の名前、決済カード番号、セキュリティコード、有効期限といった情報を収集することを目的としたもので、顧客の連絡先情報や個人識別番号などは盗まれていない。また、Starwoodの予約システムとプリファードゲスト会員システムは侵入された形跡はないという。

 同社は影響を受けたホテルのリスト(PDF文書)を公開しており、その数は54軒にのぼる。セキュリティ侵害の期間はホテルによって異なり、最も古いところではフロリダ州オーランドの「Walt Disney World Dolphin」が2014年11月5日から不正アクセスを受けていた。ほかにも9軒に対して昨年11月に不正アクセスが始まっている。

 Starwoodは、「すでにマルウエアは除去し、再発防止のためのセキュリティ手段を追加した」と述べている。

[発表資料へ]