Sorry, this functionality is only available for verified hoteliers

The project dashboard is a free tool that is only available to verified hoteliers to make adopting new technology easier by streamlining their research and simplifying their communication workflow.

7 最小読み取り

ホテルでマルウェア攻撃を防ぎ、サイバーセキュリティを促進する方法

アバター

Jordan Hollander オペレーション

最終更新 1月 26, 2022

画像の説明

予備の160万ドルがありますか?これは、セキュリティの専門家が、マルウェアを含むサイバー攻撃からビジネスを回復するために必要と見積もっている平均額です。

ホテルはハッカーにとって簡単な標的です。サイバーセキュリティは、多くのホテルが自信を持っているものではありません。「昨年、データ侵害に関する2つの最大のグローバルレポートであるTrustwaveのグローバルセキュリティレポートとVerizonのデータ侵害調査レポートは、どちらもこの分野でのホスピタリティが引き続き苦戦していることを示しています。一方、Verizonは次のように報告しています。宿泊施設、食事、宿泊施設は、ケースロードのほぼ54%を占めています」と、PCI SecurityStandardsCouncilのGMであるBobRusso氏は述べています。

ホテルの宿泊客の記録が破られるたびに、宿泊施設は財政的負担に悩まされ、宿泊客との信頼が失われます。ホテル経営者として、サイバーセキュリティの専門家である必要はありませんが、ビジネスとゲストを保護するための基本を完全に理解する必要があります。ホテルでサイバーセキュリティに取り組み、リスクを可能な限り最小限に抑える方法をいくつか紹介します。

ホテルがハッカーにとって魅力的なターゲットである理由

ホテルはハッカーにとって簡単で収益性の高いターゲットです。ホテルは2つの理由で魅力的なターゲットになります。1つは、多くのホテルのサイバーセキュリティが緩いことです。 「ホテル運営者を含むすべての米国企業の約25%のみが、現在のデータセキュリティのベストプラクティスに完全に準拠しています。つまり、4つのうち3つはそうではなく、発生するのを待っている潜在的な災害です」とRusso氏は言います。

第二に、ホテルは多くのトランザクションを処理し、大量のゲストデータを保存します。ハッカーは、プロパティのPOSシステムとプロパティ管理システムを同時に標的にして、パスポート番号や電子メールアドレスなどの個人データだけでなく、支払いカード情報も取得できます。マルウェアは、同じブランドの異なるプロパティでPOSシステムとPMSシステムの間を移動し、世界中の場所にいるゲストに影響を与える可能性があります。同様に、ハッカーが1つのプロパティでターゲットにできるアクセスポイントは多数あります。 「2月に、2010年以降に発生した21の最も有名なホテル会社のデータ侵害のうち、20はホテルのレストラン、バー、小売店のPOSシステムに影響を与えるマルウェアの結果であると報告されました」と述べています。ピッツバーグに本拠を置くローランドビジネススクールの情報技術プログラムの責任者であるMarkVoortman博士。

50席のレストランがある小さな100室のホテルは、今でも毎日何百ものユニークな支払いを処理しています。これらのユニークな支払いは事実上無防備です。利害関係者がゲスト情報を盗むことを思いとどまらせるために必要なセキュリティプロトコル、インフラストラクチャ、およびトレーニングを実施しているホテルはほとんどありません。

マルウェアとは何ですか?定義された主要なサイバーセキュリティの概念

サイバーセキュリティの重要な概念を理解することは、戦いの半分です。ホテルのセキュリティを向上させる際に遭遇する一般的な用語は次のとおりです。

  • フィッシング:フィッシングは、詐欺師があなたに電子メールやテキストを送信したり、電話をかけて個人情報を漏らそうとしたりして、銀行の詳細やクレジットカードにアクセスするときに発生します。フィッシングメールは、個人情報を確認しない限りアカウントがシャットダウンされることを警告する銀行からのメッセージのように見える場合があります。

  • 暗号化:暗号化は、データの読み取りを許可された関係者のみが情報を理解できるようにデータをスクランブリングすることを含むセキュリティ手順です。このプロセスは、読み取り可能なデータを取得し、ランダムに表示されるように変更します。暗号化された情報を受信する当事者は、データのスクランブルを解除して読み取り可能なプレーンテキストに変換するためのキーを必要とします。

  • VPN: VPNは「仮想プライベートネットワーク」の略です。 VPNは、IPアドレスをマスクし、インターネットアクティビティをほとんど追跡できないようにします。これは、インターネット接続が安全でプライベートであることを確認するための優れたツールです。

  • マルウェア:マルウェアは「悪意のあるソフトウェア」の省略形です。マルウェアは、コンピューターにアクセスできるように設計されています。スパイウェア、ランサムウェア、ウイルス、およびトロイの木馬はすべて、さまざまな種類のマルウェアです。

  • ペネトレーションテスト:ペネトレーションテストは、サイバーセキュリティの専門家がコンピュータシステムの弱点を特定しようとする手順です。専門家はマルウェアまたはハッキング攻撃をシミュレートして、悪意のある攻撃者が利用する可能性のある脆弱性を見つけます。

  • APT(Advanced Persistent Threat) :APTは最悪の種類の攻撃であり、悪意のある攻撃者が「継続的で秘密の高度なハッキング技術を使用してシステムにアクセスし、長期間内部に留まり、破壊的な可能性がある」攻撃です。結果。"

  • アンチウイルス:オペレーティングシステム上のコンピュータウイルスを検出して破壊するように設計されたプログラム

  • マルウェア対策:ウイルス対策ソフトウェアに似ていますが、ウイルス対策が古い/既知の脅威に焦点を当てている場合、マルウェア対策は通常、新しい未知の脅威に焦点を当てます。マルウェア保護は、成熟したウイルスで完全になる前に未知の脅威を特定することに重点を置いています。未知数が多いため、マルウェアの除去は通常、ウイルス対策よりも困難です。

  • ルートキット:ルートキットは、サイバー犯罪者によって設計された秘密のコンピュータープログラムであり、コンピューターの存在を積極的に隠しながら、コンピューターへの継続的な特権アクセスを提供します。

  • キーロガー:キーロガーは、キーストロークロガーまたはシステムモニターと呼ばれることもあり、特定のコンピューターのキーボードで入力された各キーストロークを監視および記録するために使用される監視テクノロジの一種です。キーロガーソフトウェアは、AppleのiPhoneやAndroidデバイスなどのモバイルデバイスでも使用できます。キーロガーは合法的なソフトウェアであり、永久に使用できますが、クレジットカード番号やパスワードなどの機密情報を盗むための詐欺としてよく使用されます。

  • ボットネット:悪意のあるコードを含み、スパムメッセージの送信など、所有者の知らないうちにグループとして制御されている、感染したプライベートコンピュータのネットワーク。

VPNと暗号化を使用し、定期的な侵入テストを実行することで、マルウェアやAPTに対してネットワークを安全に保つことができます。また、ホテルのITチームが定期的にプロパティコンピューターでキーストロークロガーをチェックし、スタッフが奇妙な電子メールの添付ファイルを開かないようにする必要があります。これらは、ホテル業界でのこれらの注目を集めるハッキングのような災害を回避するために定期的に実践しなければならない最低限のセキュリティプロトコルです。

ホテル業界における注目度の高いマルウェア攻撃

サイバーセキュリティ企業であるSymantecの調査によると、ホテルの65%以上が、サードパーティのサイトを通じて予約参照コードを定期的に漏えいしています。何でこれが大切ですか?これらのコードを介して共有される情報により、悪意のある人物が予約にログインしたり、個人情報を表示したり、予約を完全にキャンセルしたりする可能性があるためです。これが発生すると、ゲスト情報が脆弱になり、ゲスト関係が破壊されるリスクがあります。

ノートンライフロックの調査によると、あらゆる規模のホテルが危険にさらされています。 HEIホテル&リゾート、スターウッド/マリオットなどで大規模なハッキングが発生しています。ここにいくつかの注目すべきイベントがあります:

HEIホテルズ&リゾーツ

2016年、データ漏えいはHEI Hotels&Resortsが運営する20の米国ホテルに影響を及ぼしました。この攻撃により、何万もの飲食物取引からの支払いカードデータが公開されました。マルウェアは、敷地内のレストラン、バー、スパ、ロビーショップ、その他の施設でカード情報を処理するために使用されるホテルの支払いシステムで発見されました。専門家は、ハッカーが顧客名、口座番号、カードの有効期限、および確認コードを阻止する可能性が高いと判断しました。

スターウッド/マリオット

2019年1月、スターウッド/マリオットは、データ侵害により、2014年以降に宿泊施設に滞在したゲストの個人情報が漏洩したことを発見しました。暗号化されたパスポート番号やクレジットカードまたはデビットカード番号など、約5億人のゲストデータが盗まれました。 New York Timesは、この規模の攻撃が目覚ましいため、ハッカーが中国の国有省と協力していた可能性があると報告しました。

オムニホテルズ&リゾーツ

オムニはまた、2016年に50,000人の顧客に影響を与えたマルウェア違反で攻撃されました。チェーンの60か所のうち49か所からデビットカードとクレジットカードの情報が盗まれました。クレジットカードとデビットカードの番号、カード所有者の名前、セキュリティコード、有効期限などです。

ハイアット

ハイアットのホテルのうち41軒で、ハッカーは2015年以降の2回目の攻撃でペイメントカード情報への不正アクセスを取得しました。2回目の攻撃のうち、あるセキュリティ専門家は次のように述べています。組織、特にそれらのシステムが世界中に分散していて、共通のネットワークで接続されていない場合。システム管理ツールセットを選択するときは、2048ビット証明書と2要素認証を使用して保護され、エンドポイントの場所に関係なく機能するソリューションを実装する必要があります。」

セイバー

Sabreは、世界中の約100,000のホテルと70を超える航空会社の予約を処理します。会社は2017年に、SabreHospitalitySolutionsのSynXisCentralReservationsシステムの資格情報を盗んだ悪意のある人物によって標的にされました。これらの資格情報は、支払いカード情報や予約の詳細(顧客の名前、電子メールアドレス、電話番号、住所)などの顧客データへのアクセスを提供しました。

これらの注目を集める攻撃は見出しをつかみますが、ホテルでは毎月何百もの小さな攻撃が発生しています。最近でも、マイアミのフォンテンブローでのような大規模なハッキングは、主流メディアによって見過ごされてきました。情報筋によると、Fontainbleuはクレジットカードシステムへのランサムウェア攻撃に直面し、ホテルはカード支払いを引き続き受け入れることでゲストデータを危険にさらすか、ゲストに現金での支払いを要求しました。フロントデスクが状況を緩和しようとしている間、ゲストは最大5時間部屋を待ちました。これは、ある人が次のように説明しているシーンです。混沌。」 「ラインはロビーのドアの外にありました」とある幹部はVarietyMagazineに語った。フォンテンブローのような5つ星ホテルの場合、このような事件は絶対にブランドを破壊します。

ホテルのマルウェア攻撃とサイバー脅威を保護する方法

データを安全に保ち、ゲストが立ち往生しないようにするための最良の方法は何ですか?何よりもまず、POSシステムとクレジットカードプロセッサの選択には特に注意してください。 「これらのエンティティとの合意は精査され、可能であれば、外部ベンダーの保護と最小限のデータ処理基準を追加するように変更する必要があります。ペイメントカード業界のデータセキュリティ標準(PCI-DSS)に準拠することで、データセキュリティソフトウェア、ハードウェア、およびプラクティスの安全性を確保できるだけでなく、違反が発生した場合の罰金や罰則から保護することもできます」と書いています。1人の専門家

Oracle Hospitalityのようなエンタープライズグレードのプロバイダーは、PMSとPOSの間の脆弱なリンクを保護できます。 Oracle OPERAは、MicrosのPOSシステム、およびその他の一連のアプリケーションと統合するクラウドベースのプロパティ管理システムです。オラクルは、オンサイトとクラウドの両方でプラットフォームを監視するためのCloud SecurityMonitoringAnalyticsなどの高度なセキュリティプロトコルを提供しています。 Oracleツールには次のものも含まれます。

  • 会社の要件または外部規制に対して構成をチェックするためのクラウドコンプライアンスコントロール(OMC CC)。

  • Cloud Access Security Broker(Oracle CASB)は、クラウド内のシャドーITを検出し、OracleおよびAWS、Salesforce、Azure、Boxなどのサードパーティのクラウドサービスの使用と構成に関する企業要件を監視します。

  • オンプレミスまたはクラウドサービスのユーザー管理および認証システムを提供するためのIdentityCloudService(Oracle IDCS)。

これらのセキュリティプロトコルは、内部ネットワークで何が起こっているか、および外部からの攻撃を監視します。オラクルと連携することで、多層セキュリティ、データ保護、安全なトランザクション、および支払いとデータのプライバシー基準への準拠が実現します。しかし、セイバーの攻撃で証明されているように、これらの対策でさえ十分でない場合があります。適切な資格情報があれば、誰でもセキュリティシステムを乗り越えることができます。

適切なテクノロジーは方程式の半分にすぎません。長年にわたり、セキュリティの専門家は、問題の一部として従業員も特定してきました。ホテルは、個人情報のセキュリティを処理し、プライバシーポリシーを遵守し、ユーザーアクセスの資格情報を定期的に変更するようにスタッフをトレーニングする必要があります。この業界は離職率が高く、これが従業員が常にセキュリティ基準を維持しているとは限らない理由の1つです。あなたの財産は、すべての新入社員が訓練され、退役軍人が最新の脅威について最新の状態に保たれることを確実にするために、定期的に情報セキュリティセミナーを主催する必要があります。

優れたPMS/POSシステムと適切なトレーニングがあっても、定期的な侵入テストとリスク評価を実行することが重要です。ネットワークの侵入テストの頻度について簡単な答えはありませんが、専門家は年に1回はおそらく十分な頻度ではないと警告しています。スタッフをトレーニングし、セキュリティソフトウェアを最新の状態に保ち、サイバーセキュリティに投資しているOracle OPERAのようなプラットフォームに投資するだけでなく、ゲストにVPNを使用し、使用していないときはWiFiからログアウトするように促すことができます。

あなたも好きかもしれません
ChatGPT Hotel Ads: They're Here and OTAs Already Have First-Mover Advantage マーケティング ChatGPTのホテル広告:ついに登場、OTAは既に先行者利益を獲得

1ヶ月前

The Best Hotel Tech Apps of 2026 ゲストエクスペリエンス 2026年のベストホテルテックアプリ

4ヶ月前

The 10 Best Places to Work in Hotel Tech 2026 オペレーション 2026年のホテルテック業界で働くのに最適な10の職場

4ヶ月前

HITEC Indianapolis 2025 Innovation Report ゲストエクスペリエンス HITECインディアナポリス2025イノベーションレポート

11ヶ月前

パーソナライズされた製品推奨事項を取得する

製品推奨アドバイザー

Ghostel icon

ホテル情報を調べてみましょう