2018年11月30日、Marriottは5億人にもおよぶStarwood ホテルの顧客データがハッカーによって盗まれた可能性があることを発表(公式ページ)しました。この盗難されたデータには、名前やEmailアドレス、誕生日、宿泊履歴などの他に、クレジットカードやパスポートデータなどの重要なデータも含まれています。今回は、この大規模なデータブリーチに対して今できることをまとめました。

こんな人にお勧め
今回のデータブリーチは2014年から起こっていたので、過去4年の間に少なくてもSPG系のホテルに1泊した人はこのデータブリーチの被害に遭っている可能性があります。実際に今回の被害者にあった人にはMarriottからメールで連絡があります。
注意点
Equifaxのデータブリーチのときに偽物のメールや被害にあったか確認できるサイトの偽物が多く出回りました。今回も大規模なデータブリーチなので、似たような偽メールや偽サイトで個人情報を盗もうとする悪徳業者もいると思います。そのような二次被害に遭わないようにするためにも、メールやリンクは正規のものか確認してから個人情報を入力してください。
概要
このデータブリーチによる被害を最小限に食い止めるためにやれることを3つ紹介します。3つとも今できることなのですぐに行動に移して下さい。他にも心配な人のために追加のアドバイスを追加しました。
パスワードを変える
まずはMarriottのロイヤルティープログラムに使っているパスワードを変えましょう。パスワードの変更は、自分のアカウントにログインして、Profileというところから行えます。
パスワードは他のアカウントのものとは違うユニークなものにしてください。同じパスワードを銀行やEmailなどの重要なアカウントにも使っていると、二次被害で銀行口座やEmailアカウントが乗っ取られてしまう可能性があります。そうなると大きな問題になってしまうので、パスワードの管理は大切です。
しかし、アカウントを作るたびにパスワードを考えたり記録しておくのは大変な作業ですね。そもそもその情報自体が盗まれないように管理していかないといけません。手作業でそのように複数のパスワードを管理していくのはめんどくさいので、私はパスワード管理ソフトウェアを使っています。長年実際に使っていておすすめしているのが、1Password です。他にも似たツールはあるので、好みで使ってもらえればいいですが、1Password は元々アップル用に開発されていたソフトなのでMacやiPhoneを愛用している人には特におすすめです。有料ですが、パスワード管理ソフトウェアは安全性や信頼性が必要なので、お金を払う価値のあるソフトウェアの1つだと思います。
1Passwordを使うと、簡単にユニークなパスワードが作れます。このようなデータブリーチで急に新しいパスワードが必要になっても問題ありません。
1Passwordについては後日記事にする予定なのでお楽しみに。
モニタリング
次はモニタリングです。MarriottはKroll という会社を雇い特設ページを開設して、WebWatcherというサービスを無償提供しています。WebWatcherとは、個人情報がネット上で共有されているかをモニタリングしてくれるもので、もしそのような動きがあったら警告してくれるというサービスです。特設ページから申し込むと1年間無償で提供されます。

今回のWebWatcherというサービスを無償提供ですが、今回のデータブリーチの被害に遭ったことを証明する必要はなく、使うことができました。このサービスを使うには個人情報を入れないといけないので、申し込む際は、サイトが公式のものかを確認してからデータを入力して下さい。
登録が終わったら、モニタリングしたい情報を入力します。今回のデータブリーチでは多くの個人情報が漏れました。個人的には、Social Security Numberに加えて、Marriott・SPG系のクレジットカード5枚、Passport番号をトラッキングすることにしました。
また、WebWatcher登録者でアメリカに住んでいる人には追加で2つの特典が付いてきます。1つめは、Fraud Loss Reimbursement benefit。最大で100万ドルの費用を負担してくれます。2つめは、 Kroll fraud specialistとの無料コンサルテーションです。
Marriottのアカウントを定期的にチェック
銀行口座の乗っ取りのように、Marriottのアカウントが乗っ取られてしまうと勝手にポイントを使われたり、ポイントが盗まれたりすることがあります。そのようなことがあっても早く気づけるように日頃から定期的にMarriottのアカウントの使用状況をチェックする必要があります。しかし、いちいちMarriottのアカウントに入って使用状況をチェックするの煩わしいですね。そこで、さまざまなロイヤルティープログラムをまとめてチェックできるAward Walletがおすすめです。これも私が長年使っている便利ツールの1つです。このツールを使えば一目でチェックできます。
Award Walletについても後日記事にする予定なのでお楽しみに。
追加アドバイス
さて、以上が今回のデータブリーチによる被害を最小限に食い止めるためにやれることを3つですが、心配な人の貯めに追加でアドバイスをします。
クレジット番号を変える
SPG系のホテルを予約するために使ったカードがわかっている場合、そのカード番号を変えることをおすすめします。カード発行会社に状況を説明してカード番号を変えたいと言えばすぐに新しい番号のカードを送ってくれます。問題は普段の自動引き落としなどに同じカードを使っている場合、新しいカードの情報を入力し直さないといけないのでめんどくさいです。
セカンドEmailアカウント
マイレージプログラムやロイヤルティープログラム専用のEmailアカウントを作って、個人用のものと分けるという方法もあります。これは今回のデータブリーチへの対策ではないですが、将来的にこのようなデータブリーチによる被害を最小限にするための対策です。プライベートな連絡は別のメールで行うなど使い分けがちゃんとできればいいアイデアだと思います。
パスポートは?
詐欺行為があった場合、Marriottは新しいパスポート費用代を支払うというニュースがありました。実際に被害があってからでは遅いような気もしますが、パスワード費用は高いのでMarriottが負担してくれるのであれば、一度連絡を取ってみるのもいいかもしれません。
まとめ
今回のデータブリーチは大規模で漏れてしまったデータも重要な個人情報が含まれています。起こってしまったことは仕方ないので、自分で自分を守れる今できる3つのことを紹介しました。被害を最小限にするためにもこの記事を参考にして、今すぐにパスワードの変更、WebWatcherへの申し込みと、アカウントの定期的なチェックを行って下さい。