概要

  • 引き継がれた運用上の真実:侵入者は2014年7月下旬にスターウッドの環境に侵入しており、これはマリオットがスターウッド買収を完了した2016年9月23日の2年以上前である。マリオットが最初の侵害を引き起こしたわけではない。しかし買収完了後、同社は、レガシーシステムとマリオットのネットワークが分離されたままでも、現在も稼働中の予約システムと世界中のゲスト記録をマリオットの資産として管理しなければならない企業を支配下に置いた。
  • タイムラインと範囲:データベース監視アラートが2018年9月7日に生成され、9月8日にマリオットにエスカレーションされた。調査員は9月17日にリモートアクセス型トロイの木馬を発見し、11月13日に削除された暗号化エクスポートファイルを特定、11月19日に2つのファイルを復号、11月22日に英国規制当局に通知し、11月30日に公表した。マリオットが当初示した最大5億人のゲストという数値は、後にレコード数の上限3億8,300万件となり、さらに規制当局の記録では世界で3億3,900万件が使用された。これらのいずれも、一意の個人の正確な数ではない。
  • データと管理に関する所見:露出した組み合わせには、連絡先情報、生年月日、パスポート識別子、ロイヤルティデータ、予約・宿泊情報、支払いカードデータが含まれていた。英国情報コミッショナーオフィス(ICO)は、GDPR の期間についてのみ、4つの主要な所見を示した。特権アカウントの監視不足、データベース監視不足、重要システムの管理不備、すべてのパスポート番号の暗号化不備である。ICO は、GDPR 第33条または第34条に基づく最終的な所見は下さず、マリオットの主張を考慮した上で、多要素認証の不完全な導入を制裁金の対象から除外した。
  • 執行後の説明責任:ICO は2020年に1,840万ポンドの制裁金を科した。2024年には、州司法長官が5,200万ドルの和解に達し、連邦取引委員会(FTC)がセキュリティガバナンス、買収エンティティの評価、監視、アクセス、ハードニング、暗号、データ保持、独立評価を対象とする20年間の命令を課した。マリオットは ICO の手続きおよび複数州との和解において責任を認めなかった。これらの手続き上の制限は重要だが、運用上の教訓を弱めるものではない。買収は法的な取引を完了させるが、買収した環境の真実を保証するものではない。

買収したのは企業、データベース、そして未完のセキュリティ履歴

マリオットは2015年11月16日にスターウッド買収の合意を発表した。その4日後、スターウッドは北米の一部ホテルにおける POS システムに影響する別の支払いカードインシデントを公表した。スターウッドの2015年年次報告書は、マルウェアがレストラン、ギフトショップ、その他の POS システムに到達したことを明らかにした。その時点では、予約システムやスターウッド・プリファード・ゲストシステムへの影響は認められなかったと述べている。(Starwood 2015 Form 10-K)

その公表は、後にマリオットが発表した予約データベース侵入の通知ではなかった。この2つの出来事は、異なるシステムと公開情報に関わるものだった。しかし、それはスターウッドの環境にセキュリティ上の履歴があることを示す通知ではあった。連邦取引委員会の2024年の提訴状によれば、POS 端末の侵害は約14か月間続き、4万人以上の消費者に影響し、不十分なセグメンテーション、アクセス制御、サポート終了ソフトウェア、多要素認証の欠如に関連していたという。同じ提訴状は、マリオットが発表から買収完了までの10か月間にスターウッドの情報セキュリティプログラムをレビューし、その最初の侵害に関連する不備も含まれていたと述べている。これらの記述は、同意命令の事案における FTC の主張であり、訴訟による事実認定ではない。(FTC complaint)

マリオットの説明は、重要な制約を加える。当時の CEO、アーン・ソレンソン氏が2019年に米国上院小委員会で行った証言によれば、マリオットはクロージング前の期間にスターウッドの技術に関する情報を入手し、統合を評価したが、両社が競合関係にあったため、その調査は法的および実務的に制限されていた。マリオットは自社の予約プラットフォームを維持し、スターウッドのものを廃止することを決定した。1,270のホテルを予約を中断せずに移行するには2年を要したため、スターウッドのシステムはクロージング後も稼働を続け、マリオットは追加のセキュリティに投資したと述べている。(Sorenson Senate testimony)

どちらの事実も真実であり得る。クロージング前のアクセスが制約され、買収者が稼働中の管理問題を引き継ぐこともあり得る。誤りは、デューデリジェンスを一度限りの証明書として扱い、立証責任の転換として扱わないことだ。クロージング前は、買収者は法的に検査可能な範囲、売り手の表明、必要な契約上の保護を確認する。クロージング後は、所有者は特権 ID を再検証し、ログを調査し、潜伏の有無を探索し、データベースのエクスポートをマッピングし、セグメンテーションをテストし、暗号方式を棚卸し、レガシーシステムが個人データの処理を継続してよいか判断できる。権限が変わるのだから、証拠も変えなければならない。

マリオットは2016年9月23日に買収を完了した。スターウッドは間接的な完全子会社となり、統合グループは約6,000施設、110万室超、30ブランドを120の国と地域に展開すると説明された。(Marriott acquisition Form 8-K) この規模は、スペクタクルとしてではなく、依存関係の地図として重要である。予約データベースは周辺的なオフィスアプリケーションではなかった。ホテル、コールセンター、ロイヤルティプロセス、ゲストサービス、旅行記録を、グローバルなフランチャイズとマネジメントシステム全体にわたって結び付けていた。

公開記録はまた、狭義ではあるが重要なアーキテクチャの事実を確立している。ICO は、攻撃者がアクセスしたシステムは、より広範なマリオットのネットワークから分離されたままだったと認定した。攻撃によって、スターウッド以外のシステムでのみ処理される個人データにアクセスすることはなかったという。したがって、分離は被害範囲を限定した。しかし、それによって買収した環境が安全になったわけではない。スターウッド側は本番環境のままであり、効果的な監視を伴わない分離は、侵入者を封じ込めるのと同じくらい容易に、侵入者を温存し得る。

タイムライン:侵入、所有権、検知、公表は異なる日付である

この侵害はしばしば「2014年以降の不正アクセス」というフレーズに圧縮される。このフレーズは、説明責任に必要な時系列を失わせる。少なくとも6つの時計が重要である。最初の侵入、マリオットの買収、GDPR 適用開始、アラート、ゲストデータ関与の確認、そして公表だ。

2014年6月から2015年:スターウッドの別の支払いカード事案。FTC の後の提訴状は、攻撃者がスターウッドのネットワークに到達し、100以上の所有または管理施設で支払いカードを窃取するマルウェアをインストールした14か月間の侵入を説明している。スターウッドは2015年11月に、より限定的な施設レベルの POS 事案を公表し、ゲストの予約システムやロイヤルティシステムには影響の兆候はないと述べた。この以前の事案は、ネットワークの弱点を買収の文脈に置くために関連性がある。あたかもすべての事実や影響を受けた消費者が同じであるかのように、遡及的に予約データベース侵害と統合すべきではない。

2014年7月28日~29日:後に予約侵害に関連付けられる環境への侵入。FTC 提訴状は、2014年7月28日頃に外部向け Web サーバーが侵害されたとしている。ICO 制裁金通知は、スターウッドの従業員が Web サイトのコンテンツ変更を要求するために使用するアプリケーションをサポートするデバイス上に、Web シェルが7月29日にインストールされたと述べている。このシェルはリモートアクセスを可能にし、リモートアクセス型トロイの木馬のインストールを可能にした。1日の差は、2つの公開再構成の精度を反映しており、必ずしも事実の矛盾ではない。安全な結論は2014年7月下旬である。

侵入者は、特権資格情報とユーザー資格情報を収集し、スターウッド環境内を移動した。FTC は、キーロガー、メモリスクレイピングマルウェア、リモートアクセス型トロイの木馬が、最終的に58か所の企業、データセンター、コールセンター、ホテルの拠点にわたる480以上のシステムに出現したと主張した。ICO は、正規アカウントの使用、Mimikatz による資格情報抽出、データベーステーブル全体のダンプファイルへのエクスポートについて説明している。どちらの記録も、基礎となるフォレンジック報告書、影響を受けたホストの完全なリスト、または最初に外部向けサーバーを悪用可能にした正確な脆弱性を公開していない。

2015年11月:マリオットが取引を発表。スターウッドは別の侵害を公表。この時点で、引き継がれたサイバーリスクが取引上の問題として可視化された。それは潜伏していた予約システムの攻撃者を明らかにしなかった。しかし、買収者に対して、技術的保証、修復の主張、ペイメントカードコンプライアンス、ネットワークセグメンテーションは、支配権が移転した後に独立した検証を必要とする命題として扱う理由を与えた。

2016年9月23日:マリオットが買収を完了。予約システムの侵入者はすでに存在していた。マリオットは、移行を待つ間スターウッドのシステムを稼働させ続けながら、セキュリティ強化を行ったと述べている。ICO は、関連期間中、2つのネットワークが分離されたままだったと記録している。FTC は後に、マリオットにはクロージング後、両社のセキュリティ対策を確立、レビュー、実施する責任があったと主張した。

2018年5月25日:GDPR が適用開始。この日付が ICO 決定の法的範囲を定める。攻撃は何年も前に始まったが、制裁金通知はマリオットによる2018年5月25日から9月17日までの処理を対象とした。ICO は、買収から GDPR 適用までの期間について侵害認定を行っておらず、買収時により深いデューデリジェンスが可能だったかどうかも判断していないことを明示した。この境界は不可欠である。ICO は、継承されたシステムを用いて、GDPR 発効後のマリオットの継続的な管理者としての義務を評価したのであり、2014年や2016年の行為に対して遡及的な GDPR 責任を作り出すためではない。(ICO penalty notice)

2018年9月7日~8日:カウントクエリがアラートを生成。9月7日、管理者アカウントが保護されたゲストプロファイルテーブルの行数をクエリした。IBM Guardium がアラートを生成した。スターウッドのゲスト予約データベースを管理していたアクセンチュアが、9月8日にマリオットの IT チームに連絡した。マリオットは、使用された資格情報の人物がそのクエリを実行していないことを知った。アラートは、カードの詳細が含まれているために監視されていたテーブルに関するものだった。ICO は、支払いカードデータを含まない他のテーブルには同等のアラートがなかったと述べた。

これは異常なアクションの検知であり、侵害全体の即時の認識ではなかった。クエリは件数を返したもので、行の内容ではない。同日は後に、第33条の通知目的でマリオットが個人データ侵害を認識した時点に関する ICO の分析において争点となった。マリオットの主張を考慮した結果、ICO は最終的な第33条違反の認定を行わなかった。

9月9日~12日:インシデント対応と継続する攻撃者の活動。マリオットは9月9日または10日頃に情報セキュリティおよびプライバシーインシデント対応計画を発動し、9月10日に外部調査員を投入した。ICO は、別のパスポート関連テーブルが同日にダンプファイルにエクスポートされたと述べている。9月12日、マリオットは約7万台のレガシーなスターウッドデバイスにリアルタイム監視とフォレンジックツールの展開を開始した。最初のアラート後にデータエクスポートが発生したという事実は重要である。これは、アラート生成、アナリストによるエスカレーション、封じ込め、根絶が別々に測定されなければならない理由を示している。

9月15日~18日:資格情報、マルウェア、ガバナンスエスカレーション。調査員は、7月からのアクセンチュア従業員の資格情報に関わる不正な活動を特定した。彼らは9月17日にリモートアクセス型トロイの木馬を発見し、コマンド&コントロールアドレスをブロックした。ソレンソン氏は、その日に自分が知らされ、取締役会には9月18日に通知されたと証言した。ICO は、制裁金分析の違反期間の終了を9月17日に選んだが、それは RAT が特定され封じ込められた日であり、すべてのフォレンジック上の疑問が解決されたからではない。

2018年10月:過去の侵入が可視化される。調査員は Mimikatz とメモリスクレイピングマルウェアの証拠を特定し、不正な存在を2014年7月まで遡って追跡した。マリオットは10月29日に FBI に連絡した。同社の上院証言によると、この段階では調査員は長期にわたる侵入の証拠を持っていたが、予約データベース内のゲストデータがアクセスされた証拠はまだ発見していなかった。

11月13日~19日:削除されたファイルがゲストデータエクスポートの証拠となる。11月13日、調査員は圧縮・暗号化され削除された2つのファイルの痕跡を発見した。彼らは11月19日にそれらを復号し、ゲストプロファイルとパスポート関連テーブルのエクスポートを発見した。それは、マリオットが、それらのファイルにスターウッドゲスト予約データベースの個人情報が含まれていると判断したと述べた日付である。9月の異常と11月の確認の区別は、すべての通知決定が適時であったことを証明することなく、調査の遅延を説明する。

11月22日~30日:規制当局への通知と公表。マリオットは11月22日に ICO に通知した。同社は11月25日と26日に追加の過去のテーブルコピーの証拠を発見し、ペイメントカードネットワークや様々な当局に通知し、11月30日にこのインシデントを公表した。その最初の通知では、データベースが米国にあり、2018年9月10日以前のスターウッド施設での予約に関連する記録が含まれていると述べた。(Marriott November 2018 incident notice)

2018年12月18日~31日:廃止。ソレンソン氏は、マリオットが12月18日にスターウッドゲスト予約データベースの業務利用を停止したと述べた。マリオットの1月のアップデートでは、年末までに段階的廃止が実質的に完了したと説明されている。廃止によって稼働中の予約における役割は終了したが、安全な廃止には、コピー、資格情報、キー、フォレンジックイメージ、バックアップ、法的保持の処分も必要である。公開記録は完全な廃棄台帳を提供していない。

2019年~2020年:範囲の変更と英国の最終制裁金。マリオットは1月と年次報告書でカウントを修正した。ICO は2019年7月に9,920万396ポンドを提案する意向通知を発行した。マリオットの書面による主張、他の欧州当局との協議、軽減分析、COVID-19 調整の後、最終制裁金は2020年10月30日に1,840万ポンドとなった。マリオットは控訴しないが、責任は認めないと述べた。(Marriott response to final ICO decision)

2024年4月:5年前の暗号記述が変更される。マリオットは2018年と2019年の通知にアップデートを追加した。AES-128 で保護されていると説明されていた支払いカード番号と一部のパスポート番号が、実際には SHA-1 で保護されていた。この訂正は、不正アクセスの事実を変えるものではない。暗号化とキーに関する以前の記述を読者がどう解釈すべきかを変える。

2024年10月~12月:並行する米国の解決が執行可能になる。50州の司法長官連合は、1億3,150万件の米国関連ゲストレコードと長期にわたる保護措置を対象とする5,200万ドルの和解を発表した。FTC は10月に並行する同意和解を発表し、12月20日に最終決定と命令を確定した。FTC の事案は2014年から2020年までの3件の侵害を対象としており、その手続きにおけるすべての主張や救済がスターウッド予約インシデントのみに帰属するわけではない。

2025年~2026年:私的訴訟は別のトラックとして継続。2025年6月、第4巡回区控訴裁判所は集団訴訟権利放棄条項を執行し、マリオットに対するクラス認定を破棄した。裁判は本案の侵害請求について判断しなかった。(Fourth Circuit opinion) 2026年2月10日に提出されたマリオットの Form 10-K は、一部の原告がニューヨークで個別訴訟を提起し、連邦多地区訴訟で調停協議が継続し、カナダの事案は実質的にオンタリオ州に統合され、マリオットはこれらの主張を争っていると述べている。(Marriott 2025 Form 10-K)

数字はレコードであり、人、地域、手続き上の集団である

単一の侵害件数をすべての目的に対して安全に用いることはできない。マリオットの推定値は、調査員が重複排除やテーブル分類を進めるにつれて変化した。規制当局や裁判所は後に、それぞれの管轄や手続きに結びついた異なる集団を用いた。

日付と出典対象数その数字の意味意味しないこと
2018年11月30日 マリオット通知最大約5億人のゲスト; より広範な項目の組み合わせを含むものは約3億2,700万重複分析完了前の暫定的な公表上限一意の個人や、全員が同じ項目を失った人数の検証済み数ではない
2019年1月4日 マリオット更新上限として約3億8,300万レコード; 一意のゲストはより少ない一部重複排除後の改訂された会社推定値3億8,300万人の個人ではない
2020年 ICO 制裁金通知世界で3億3,900万件のゲストレコード; EEA 加盟国に関連するものが3,010万件; 英国に関連するものが700万件最終的な GDPR 執行記録で使用された集団3億8,300万の上限に加算できる数ではない; 地域レコードはサブセットである
2024年 複数州和解米国の顧客に関する1億3,150万件のレコード州によって使用された米国関連集団世界全体の合計や、補償を受けた個々の請求者の数ではない
2025年 第4巡回区控訴裁判所意見訴訟資料における約1億3,370万件のゲストレコード消費者訴訟を説明するために使用された集団すべてのレコードが補償可能な損害を生じたという本案判決ではない

レコードと人間の違いは編集上の整理ではない。ゲストは複数の滞在、住所、同行者、ロイヤルティエントリー、重複プロファイルを持ちうる。異なるテーブルは同じ人物を不整合な方法で識別し得る。マリオットは上院で、一致または類似する名前や住所が1人のものか複数人のものか、自信を持って判断できなかったと述べた。防御可能なデータインベントリは、インシデント発生前にその身元問題を十分に解決し、通知の時点で何人の情報を保持しているかを述べられないという事態を発見すべきではない。

カテゴリーも様々だった。マリオットの最初の通知では、約3億2,700万件のレコードに、氏名、住所、電話番号、メールアドレス、パスポート番号、スターウッド・プリファード・ゲスト情報、生年月日、性別、到着・出発情報、予約日、コミュニケーション設定の何らかの組み合わせが含まれていたという。一部には支払いカード番号と有効期限が含まれていた。残りは氏名に加え、場合によっては住所やメールアドレスなどの別の項目が含まれていた。「何らかの組み合わせ」は、記載されたすべての項目がすべてのゲストに存在するかのように扱うことに対する警告である。

ICO のテーブルレベルの説明は、運用上の詳細を追加する。ある予約共有テーブルには、ゲストおよびロイヤルティ識別子、VIP フラグ、パスポート発行国と番号、到着・出発情報、連絡先詳細、フライト番号、航空会社コード、チェックインステータス、部屋内の宿泊人数が含まれていた。別のテーブルには、部屋タイプ、大人と子供のゲスト数、リクエストされたベビーベッドやエキストラベッドが含まれていた。これらの項目は、金融資格情報がなくても、世帯や旅行のコンテキストを明らかにし得る。

パスポートと支払いカードの数も変動した。マリオットの2019年1月4日の更新では、約525万件の暗号化されていないパスポート番号と、当時暗号化されていると説明されていた約2,030万件のパスポート番号が記載された。約860万件の支払いカードが暗号化されていると説明され、そのうち約35万4,000件が2018年9月時点で有効期限切れでなく、他の項目に2,000件未満の15桁または16桁の値が暗号化されていないカード番号である可能性があった。(Marriott January 2019 update)

2018年 Form 10-K および2019年3月の証言までに、同社は約1,850万件の保護されたパスポート番号、910万件の保護された支払いカード、2018年9月時点で有効な385,000枚のカードを使用した。数千件の暗号化されていない支払いカード番号が含まれている可能性があると述べた。年次報告書はまた、2018年のインシデント費用として2,800万ドルを計上し、2,500万ドルの未収保険回収で一部相殺した。これらの会計上のエントリは対応費用を測定したものであり、ゲストの損害を示すものではない。(Marriott 2018 Form 10-K)

したがって、正しい提示は一連の限定された推定値であり、最大または最新の数字を競うものではない。不確実性を両方向で維持することも重要である。重複レコードがあるため、一意の人数はレコード総数よりも少なくなる。未知または未復元のファイル、不完全な履歴テレメトリー、フリーテキスト項目は、正確な項目レベルでの再構築をより困難にする。

ICO が認定したこと、そして意図的に認定しなかったこと

ICO の制裁金通知は、スターウッド予約環境におけるセキュリティ不備に関する最も強力な公開裁決記録である。また、多くの要約が示唆するよりも狭い範囲のものでもある。

第一に、ICO は、管理者として、マリオットが適切なセキュリティをもって個人データを処理しなかったことにより、GDPR 第5条(1)(f)および第32条に違反したと認定した。この決定は2018年5月25日から9月17日までを対象とする。GDPR's official textは、セキュリティをリスクベースのものにしている。適切な措置は、技術水準、実装コスト、処理の文脈、人々の権利と自由に対するリスクに依存する。この義務は、攻撃者が成功しないことを保証するものではない。実際のデータとシステムに適切な措置を実装しテストする義務である。

第二に、最終通知は4つの主要な不備を特定した。

特権アカウントの監視不足。攻撃者は不正な活動に正規の資格情報を使用した。ICO は、マリオットがカード会員データ環境内で、特に特権アカウントのユーザー活動に対する適切な継続的監視を欠いていたと認定した。マリオットはセキュリティオペレーションセンター、年次ペネトレーションテスト、ペイメントカードコンプライアンス報告書を有していた。規制当局は、これらの管理策は関連するログ設定を評価しておらず、認証後の異常な使用を検知する必要性を代替するものではないと結論付けた。

データベースの監視不足。Guardium は選択されたアクティビティをログに記録しアラートを生成していたが、ICO は不完全なデータベースアラート設定、不十分なログ集約、ファイル作成やテーブル全体のエクスポートなどのアクションのログ記録の失敗を認定した。最終的に重要だったアラートは、カードデータを含むテーブルに適用されていた。他の個人データテーブルには同等のアラートがなかった。支払いカードの機密性はより強力な管理を正当化し得るが、規制当局は、他の個人データにアラートがないことを正当化する理由にはならないと述べた。

重要システムの管理不備。ICO は、重要システムにおける実行制御や同等のアロウリストなどの適切なサーバーハードニングが、偵察、権限昇格、マルウェア実行を制限し得たと認定した。この決定は、アロウリストをあらゆる場所に規定するものではなかった。大規模または機密性の高い個人データストアに到達可能な重要デバイスおよびシステムに焦点を当てた。

すべてのパスポート番号の暗号化不備。約525万件のパスポート番号が暗号化されていなかった。ICO は、一部のパスポート番号に暗号化保護が適用され、他には適用されなかった理由を説明する文書化されたリスク評価が存在しなかったと認定した。そのより広い論点は、すべての項目が常に暗号化されなければならないということではない。選択的な保護には、エビデンスに基づく根拠と意味のある実装が必要だということだ。

2024年の SHA-1 訂正は、最後の所見の技術的な表現を複雑にする。制裁金通知は、当時示された記録に基づいて AES-128 について議論した。マリオットは後に、問題のテーブル内の支払いカード番号と一部のパスポート番号が SHA-1 を使用して保護されていたと述べた。その後の声明は、それらのサブセットについては以前のアルゴリズム記述に取って代わるべきだが、ICO による数百万のパスポート番号が暗号化されていなかったという認定や、一貫したリスク評価を示さなかったという結論を消し去るものではない。

除外事項も同様に重要である。

ICO は、多要素認証の不完全な導入についてマリオットを制裁しなかった。マリオットは、セグメント化されたカード会員環境へのアクセスを保護する MFA について、2016年と2017年の管理保証とペイメントカードコンプライアンス報告書に依拠していた。実装は実際には不完全だったが、マリオットの主張を考慮した後、ICO はその特定の目的のためにその依拠を受け入れ、最終的な制裁金所見から MFA を除外した。慎重な説明では、依然として運用上のギャップについて議論できるが、そのギャップを4つの最終的な ICO 違反の1つと呼ぶことはできない。

ICO は、最終的な第33条の侵害通知の認定を行わなかった。マリオットの認識に関する法的推論の一部を却下したが、9月の限定的なアラート、11月13日までのテーブルエクスポートに関するマリオットの認識不足、11月19日の復号を考慮し、提案されていた認定を取り下げた。影響を受けた人々への通知に関する第34条の最終的な認定も行わなかった。規制当局は、電話番号を含めずにコールセンターに言及したメールを批判したが、そのメールが番号が入手可能な専用サイトにリンクしていたことは受け入れた。

ICO は、マリオットの買収前デューデリジェンスが法的に不十分であったとは判断しなかった。競合他社に対する詳細なデューデリジェンスは制約される可能性があることを認識し、GDPR 以前の行為を決定から除外した。しかし、デューデリジェンスは1回限りのイベントではなく、マリオットは、単に弱点が法律や買収以前に存在したという理由で、GDPR の下で不備のある継承システムでの処理を継続することはできなかったと結論付けた。

最後に、1,840万ポンドという数字は2019年の提案と混同されるべきではない。最終通知は、マリオットの提出物、アラート後の迅速な対応、協力、ICO が確認した金銭的損害の証拠の不在、その他の軽減要因、COVID-19 の影響を考慮した。マリオットは控訴しなかった。責任を認めないという声明は、明確に違反を認定した最終的な規制当局の決定と並存する。「責任を認めない」はマリオットの手続き上の立場を説明するものであり、ICO の認定を単なる主張に変換するものではない。

2024年の訂正は鍵管理を棚卸問題に変える

マリオットの当初の通知では、支払いカードの値は AES-128 で暗号化されており、復号には2つの要素が必要だったとされていた。当時、同社は両方が取得された可能性を排除できなかった。2019年1月の更新では、保護されたパスポート番号に必要なマスターキーや、保護されたカード番号に必要な2つの要素のいずれかに攻撃者がアクセスした証拠はないと述べられた。3月の証言で、ソレンソン氏はマリオットはマスターキーへのアクセスの証拠を発見していないが、排除はできないと述べた。

これらの声明は、リスクを暗号文と鍵漏えいの可能性として捉えていた。マリオットの2024年4月のアップデートは、その枠組みを変えた。影響を受けたテーブル内の支払いカード番号と一部のパスポート番号は、AES-128 ではなく SHA-1 で保護されていた。SHA-1 はハッシュ関数であり、暗号化スキームではない。NIST は、ハッシュはデータを固定サイズのダイジェストにマッピングするものであり、暗号保護用途では SHA-1 からの移行を進めていると説明している。(NIST hash-function overview,NIST SHA-1 transition notice)

この区別は重要である。暗号化は、認可された秘密またはプロセスによって可逆的であるように設計されている。ハッシュ化は通常、ダイジェストを生成するために使用され、以前の通知で説明されたマスターキーで「復号」されるものではない。しかし、公開された訂正は、値がソルト付きか、キー付きか、切り詰められたか、別の層でトークン化されたか、ルックアップテーブルとペアにされたか、あるいはその他の変換が行われたかを開示していない。また、SHA-1 が適用された正確なパスポートとカードのサブセットを特定しておらず、それらの値から基になる識別子を誰かが復元したかどうかも述べていない。これらの詳細を創作するのは無責任であろう。

説明責任の所見はより狭いが、依然として重要である。公表から5年後に、中核的な保護メカニズムの公開説明がカテゴリーレベルで変更された。これは、暗号化インベントリの失敗、エビデンス翻訳の失敗、またはその両方を示唆している。組織は、項目ごと、コピーごとに、データが平文か、暗号化か、トークン化か、ハッシュ化か、どのアルゴリズムとモードが適用されているか、キーまたはシークレットがどこに存在するか、誰がそれらを呼び出せるか、どの移行状態にあるか、そしてそれらの事実がどのようにテストされたかを知るべきである。

これは買収時に特に重要である。「機密フィールドは暗号化されている」というポリシー文書は、項目レベルのインベントリではない。ペイメントカードコンプライアンス報告書は、すべてのレガシーテーブルのすべてのパスポート項目が同じ扱いを受けていることの証明ではない。インシデント通知におけるアルゴリズム名は、調査員がアプリケーションコード、スキーマ設定、キーサービス、保存値、過去のバージョンを追跡するまで信頼できない。

優れた鍵管理も、認可されたアプリケーションによる制御されない使用を補償することはできない。攻撃者が平文を要求できる特権アカウントやデータベースプロセスを制御している場合、保管時の暗号化はライブクエリやエクスポート時にほとんど保護を提供しない可能性がある。ICO はこの点を間接的に指摘した。外部境界での MFA は、内部でのログ記録の必要性を取り除かず、暗号化は意味のあるアーキテクチャと鍵管理に依存する。管理策はストレージに単に付着させるのではなく、使用を中心に階層化されなければならない。

米国にあるデータは、他の場所の人々と法律によっても管理されていた

マリオットの最初の通知では、スターウッドゲスト予約データベースは米国にあると述べられた。レコードはグローバルだった。ICO は、EEA 加盟国に関連する3,010万件、英国に関連する700万件のレコードを数えた。州は後に1億3,150万件の米国関連レコードを使用した。したがって、物理的なデータベースの所在地は、特定のシステムがどこで稼働していたかという1つの質問に答えたにすぎない。人々が誰か、どの事業所が彼らのデータを処理したか、どの当局が管轄権を持つか、どのホテル、フランチャイジー、サービスプロバイダー、企業チームがそれにアクセスできたかという質問には答えなかった。

データ主権と地域性は、少なくとも4つの層に分離されるべきである。

ストレージの地域性は、プライマリデータベース、レプリカ、バックアップ、エクスポートファイル、ログ、フォレンジックコピーが存在する場所である。公開記録は予約データベースが米国ベースであると特定しているが、すべてのコピーやバックアップの完全なマップを提供していない。

アクセスの地域性は、ユーザー、サービス、管理者がデータに対して権限を行使できる場所である。アクセンチュアがデータベースを管理し、スターウッドとマリオットのオペレーションは多くの国にまたがり、ホテルやコールセンターのプロセスが予約システムにデータを供給した。データベースは米国のハードウェア上にありながら、特権アクセスや運用上の決定は国境を越え得る。

法的地域性は、ラックだけでなく、人、事業所、処理、適用法に従う。ICO は GDPR 協力メカニズムの下で越境処理のための主監督機関として行動した。米国の州は、独自の消費者保護法や個人情報法を主張した。したがって、中央データベースは分散した法的境界を蓄積し得る。

ビジネス上の地域性は、レコードが意味を持つ場所である。到着日、同行者、VIP ステータス、航空会社、ホテルの場所は、旅行者の移動と関係に結びついている。それらを一元化することはグローバルなサービスをサポートし得るが、同時に、管轄区域を越えた活動の集約的な記述を作り出す。

マリオットの現在のグローバルプライバシーステートメントは、国際転送がそのグローバルサービスに不可欠であり、データが異なる保護基準の国に移転される可能性があること、および適切な場合には承認された移転メカニズムが使用されることを述べている。また、目的および法律に基づく保持基準も記載している。(Marriott Group Global Privacy Statement) これは現在のガバナンスモデルの有用な証拠ではあるが、2014年~2018年のスターウッドアーキテクチャや過去のコンプライアンスの証明ではない。

教訓は、グローバルな予約データが常に旅行者の国に留まらなければならないということではない。証拠はより実践的なルールを支持する。グローバルなデータ管理者は、目的、人物、ソース、ストレージ、アクセス、移転メカニズム、保持、セキュリティ管理、責任を負う法人を結ぶレコードレベルのマップを必要とする。そのマップがなければ、「データベースは米国にある」は、ガバナンスの答えであるかのように提示された所在地の事実になってしまう。

露出した記録は、説得力のある接触のコストを低下させた

支払いカードとパスポートは、身近な身分証明書および金融手段であるため、即座に注目を集める。スターウッドのテーブルには、より静かな害の源も含まれていた。それは、信頼できる接触のための材料である。

通常のフィッシングメッセージは、信頼性のコストを負う。送信者は、メッセージが実際の関係、イベント、または取引に関するものであると受信者に納得させなければならない。予約データセットは、そのコストを削減できる。メッセージは、ホテルブランド、おおよその滞在、ロイヤルティ関係、到着期間、目的地、同伴者のコンテキスト、コミュニケーション設定、フライトを名指しできる。連絡先詳細が経路を提供し、旅行詳細が口実を提供し、ステータスや設定項目がトーンの選択に役立つ。

これは、不正利用の接触経済学である。レコードは、攻撃者が直接銀行口座を開設できるようにする必要はない。次の要求を個人化する費用を安くし、受信者が無視しにくくすることができれば有用なのだ。CISA は、スピアフィッシングを、その人物に関する重要な情報を用いて個人を標的にすることと定義している。(CISA phishing guidance) FTC のマリオット消費者向け警告は、詐欺師が侵害発表そのものを悪用し、マリオットを装って受信者を偽サイトに誘導する可能性があると警告した。(FTC Marriott breach advice)

データベースは、いくつかの不正利用経路を組み合わせていた。

  • 氏名、メール、電話番号は、発見コストを削減し、メールからテキストや音声へのチャネル切り替えを可能にする。
  • 予約と滞在の詳細は、もっともらしいサービス問題、返金、請求書、ロイヤルティ調整、またはセキュリティ警告のストーリーを提供する。
  • 到着、出発、航空会社、場所のデータは、緊急性を時期的に感じさせることができる。
  • ロイヤルティ識別子は、ポイント、アカウントアクセス、長期的な顧客関係という第二の資産クラスを生み出す。
  • パスポート番号と生年月日は、パスポート番号だけでは物理的なパスポートにはならないとしても、なりすましの試みを強化したり、検証の断片を提供したりできる。
  • VIP ステータス、雇用者、または設定のコンテキストは、ターゲットの優先順位付けや、役員向けの接触スタイルの調整に役立つ可能性がある。
  • 同伴者や子供の数は、影響を受ける人がホスピタリティ業務以外で使用されることを予期していなかった関係性のコンテキストを露出させる可能性がある。

これらは、項目と一般的な詐欺ガイダンスによって裏付けられた、もっともらしい不正メカニズムである。特定のキャンペーンがスターウッドのレコードを使用したことの証明ではない。2019年3月、ソレンソン氏は、マリオットが本インシデントに起因する立証された詐欺損失の請求を受け取っておらず、監視において影響を受けたテーブルが販売用に提供されているのも発見していないと証言した。ICO も後に、金銭的損害の証拠を見ていないと述べた。対照的に、FTC 提訴状は、詳細なレコードが、フィッシング、身元盗用、資格情報の監視と交換の負担を含む、実質的な損害を引き起こした、または引き起こす可能性が高いと主張した。この違いは、部分的には法的な立場の違いであり、部分的には時間によるものである。悪用の観測がないことはエクスポージャーがないことの証明にはならないが、可能性のある損害は詐欺の完了の証明ではない。

接触の経済学は通知にも影響する。マリオットは影響を受けるゲストにメールする必要があったが、広く公表された通知キャンペーンの存在そのものが、なりすましの口実を生み出した。同社の実際の通知は、区別可能で、多言語対応で、独立して検証可能なチャネルを通じて到達可能でなければならなかった。省略されたコールセンター番号に関する ICO の議論は、通知の品質が広報の付属物ではなく、セキュリティ管理策であることを示している。

より長期的な救済策は、データ最小化である。項目がサービス、法律、不正防止、または定義された運用目的にもはや必要でない場合、それを保持することは攻撃者への補助金を維持することになる。FTC の最終命令は、収集目的と特定のビジネスニーズに結びついた保持ポリシー、米国消費者向けの削除ルート、マーケティング目的で削除された情報を使用することの制限を義務付けている。この命令は、攻撃対象領域の削減をガバナンス義務に変えている。

3つの執行記録、3つの異なる種類の説明責任

ICO の制裁金、州の和解、FTC の命令は、ひとつの未分化な罰金にブレンドされるべきではない。

ICO 制裁金は、定められた2018年の期間について GDPR 違反を認定する最終的な行政決定である。1,840万ポンドを課した。マリオットは控訴しなかったが、責任は認めないと述べた。認定、制裁金計算、除外事項は91ページの通知に含まれている。

複数州和解は、州の申し立てを解決し、5,200万ドルの支払いを要求した。コネチカット州の発表によれば、連合は消費者保護法、個人情報法、および該当する場合には侵害通知法の違反を主張した。包括的な情報セキュリティプログラム、ゼロトラスト原則、資産インベントリ、ハードニング、暗号化、セグメンテーション、パッチ適用、監視、ベンダーおよびフランチャイジーの監視、消費者の削除とロイヤルティ保護、買収エンティティの評価、および20年間にわたる隔年の独立レビューを要求している。(Connecticut attorney general settlement announcement) 確定判決は、マリオットが違反や責任を認めないと述べており、和解金は影響を受けた各人に対する裁判評決ではない。(Vermont final judgment)

FTC の事案は、行政上の同意手続きである。提訴状は、以前のスターウッド POS 侵害、スターウッド予約侵害、および2020年に公表された後のマリオットの資格情報インシデントにわたる、欺瞞的なセキュリティ表明と不公正なセキュリティ慣行を主張している。提訴状における申し立ては、申し立てとして特定されるべきである。最終決定および命令は、すべての申し立てが裁判で争われたかどうかにかかわらず、拘束力を持つ。

FTC final orderは、書面によるセキュリティプログラム、年次およびインシデント後のリスク評価、取締役会への報告、24時間以内のログの積極的なレビュー、有効な資格情報の悪用に対する管理、最小権限、多要素認証、構成のハードニング、資産および個人データのインベントリ、暗号化または同等の保護の決定、パッチ管理、セグメンテーションとペネトレーションテスト、ベンダー管理、フランチャイジー監視、インシデント報告、CEO 認証、および20年間にわたる2年ごとの独立評価を義務付けている。

一つの条項は、買収の教訓を明示的なものにしている。マリオットが個人情報を処理するエンティティの買収を完了した後、買収されたエンティティのプログラムが本命令に準拠しているかどうかを評価し、ギャップに対する計画とタイムラインを作成し、それらをマリオットの本番資産として使用する前に、買収した IT 資産の不備に対処しなければならない。これは、クロージング前の全知を要求するものではない。クロージング後の本番環境への管理された導入を要求している。

この命令はまた、米国の消費者に対し、メールアドレスまたはロイヤルティアカウント番号に結びついた削除要求の道筋を提供し、マリオットが不正なロイヤルティ活動の疑いをレビューし、第三者の不正活動によりポイントの減少が生じたと判断した場合、命令の条件に従ってポイントを回復することを要求している。FTC's consumer explanationは、これらの救済策を法的文書よりも分かりやすくしている。

执行は現在の管理の有効性を証明するものではない。命令は義務を規定し、評価者が実装をテストし、認証が責任を割り当てる。公の読者は依然として、独立評価報告書、詳細な例外レジスター、項目レベルの暗号化インベントリを入手できない。マリオットの2025年の年次報告書は、これらの解決が長期的な要件を生み出し、不遵守がさらなる執行につながる可能性があると述べている。また、取締役会の技術・情報セキュリティ監督委員会と継続的なサイバーリスクプロセスについても説明している。これらはガバナンス構造と会社の表明であり、公的な保証意見ではない。

私的訴訟は別の説明責任の経路を追加するが、明確な責任評決ではない。2025年の第4巡回区控訴裁判所の決定は、ロイヤルティ条件における集団訴訟権利放棄条項の執行可能性に基づいていた。クラス認定の破棄は、請求がどのように集約されるかを変えるが、セキュリティが合理的であったかどうか、特定の人物が損害を被ったかどうか、すべての個別請求が失敗するかどうかを決定するものではない。マリオットの最新の年次報告書は、同社が主張を争っており、2025年末時点で手続きが継続していたと述べている。

買収後の管理スコアカード

有用な取締役会の質問は、「デューデリジェンスは行われたか」ではない。「どの継承された主張が、独立して運用上の証拠に変換されたか」である。

管理項目マリオット・スターウッドの記録における公開証拠責任ある所有者が提示できるはずの証拠
クロージング前に存在するインシデントや弱点は何かスターウッドは取引発表の4日後に別の POS 侵害を公表。FTC は後にマリオットがその原因をレビューしたと主張。署名されたインシデント系統、未解決の修復項目、フォレンジックスコープ、争点となっている事実、およびクロージング後の検証計画。
取引を生き残るアイデンティティはどれか予約システムの攻撃者は特権およびユーザー資格情報を使用。後の活動にアクセンチュアの資格情報が現れた。完全な特権、サービス、ベンダー、休眠アカウントのインベントリ。再発行またはローテーションの証拠。すべての例外の所有者と有効期限。
買収した環境は、有効なログイン後の行動を検知できるかICO は、SOC、SIEM、コンプライアンス評価が存在したにもかかわらず、不十分な特権ユーザーとデータベース監視を認定。ログソースのカバレッジ、活動ベースライン、エクスポートアラート、テスト済みのユースケース、保持期間、測定されたアナリストの応答。
ひとつのプロセスが機密テーブル全体をエクスポートできるかダンプファイルのエクスポートがインシデントの中心であり、選択されたテーブルのみが Guardium アラートを生成した。データベース活動監視ポリシー、一括エクスポートの閾値、二重承認、出力制御、およびアラートが対応者に到達することを証明する演習。
重要システムはマルウェアと偵察に対して強化されているかICO は不十分な重要システム管理を認定し、アロウリストまたは同等のハードニングが適切であると特定。構成ベースライン、強制範囲、例外の経過期間、逸脱検知、およびバイパス試行テスト。
すべての項目について「暗号化」とは何を意味するか数百万のパスポート番号が平文だった。2024年にマリオットは、カードおよび一部のパスポートの AES-128 の説明を SHA-1 に訂正。スキーマレベルの分類、方法とバージョン、該当する場合のソルトまたはキーアーキテクチャ、暗号化の所有者、ローテーションと移行の証拠。
分離は実際にリスクを低減するかレガシースターウッドシステムはマリオットの広範なネットワークから分離されたままであり、非スターウッドデータへのアクセスは制限されたが、スターウッドレコードは保護されなかった。テスト済みの信頼パス、出力制限、管理者境界、両側の監視、明示的な統合ゲート。
組織は行数だけでなく人数を数えられるか公開された合計は、5億人のゲストから3億8,300万レコード、さらに手続き固有の集団へと変動した。重複排除されたアイデンティティロジック、データ系統、信頼区間、人物ごとの項目マッピング、リハーサル済みの通知データセット。
各レコードはどこで管理されているか米国のデータベースがグローバルレコードを保持。ICO、米国の州、その他の当局が利害関係を有した。ストレージとバックアップの所在地、アクセス地域、法的エンティティ、移転メカニズム、データ主体の地域、規制当局マップ。
廃止はセキュリティプログラムか、移行日だけかマリオットは2018年12月にスターウッドデータベースの業務利用を終了。コピー、インターフェース、アカウント、シークレット、ハードウェア、法的保持、バックアップ、破棄証明をカバーする廃止計画。
将来の買収は、継承されたギャップなしに本番環境に入ることができるかFTC および州の命令は現在、買収後の評価と修復計画を義務付けている。稼働基準、適切なレベルで署名されたリスク受容、補償的制御、期限、独立したクロージャーテスト。
外部の者が修復を検証できるかFTC は2年ごとの独立評価と CEO 認証を要求。報告書は一般に公開されない。規制当局に提出可能な証拠、および安全な場合には、カバレッジ、例外、所見、クロージャーに関する公開集計指標。

このスコアカードは、すべての管理策があらゆる場所で不在だったとは想定していない。文書化された障害モードを証拠の質問に変換している。それは、継承されたシステムが経営陣が信じているように振る舞うかどうかを問うため、ポリシーチェックリストよりも要求水準が高い。

説明責任は、実質的な管理が変化する場所に属する

未知の侵入者(単数または複数)は、不正な侵入、持続、およびエクスポートについて責任を負う。その責任は、規制当局が保護措置を調査するからといって、被害組織に転嫁されるべきではない。企業の説明責任は別の問いに取り組む。誰が、アクセスをより困難にし、防止、検知、封じ込めを難しくする条件を管理し、誰が対応を管理したのか?

スターウッドは、最初の侵害時に環境を管理していた。マリオットはそうではなかった。スターウッドはまた、以前の POS セキュリティの履歴を取引に持ち込んだ。これらの事実は、因果関係を再構築する際に重要である。

マリオットは2016年9月以降、買収した企業を管理した。同社は、理解可能な継続性の理由のために、移行中にスターウッドの予約プラットフォームを継続することを選択した。同社は、セキュリティ強化、統合、廃止のペースと条件を管理した。ICO の法的認定は、2018年5月25日より後に始まるが、運用上の管理はクロージング時に始まった。

アクセンチュアは予約データベースを管理し、Guardium アラートをエスカレーションした。公開記録はまた、侵害されたアクセンチュアの資格情報を特定している。これらの事実は、重要なサービスプロバイダーの役割を確立するが、契約上または法律上の過失の完全な割り当てではない。私的訴訟にはアクセンチュアに対する請求が含まれていたが、本稿は未解決の主張を判決として扱わない。

取締役会と上級管理職は、リスク受容と証拠要求を管理した。ソレンソン氏は、9月17日に RAT について知り、取締役会には翌日通知されたと述べた。その後の FTC 命令は現在、年次の取締役会への可視化とインシデント報告を要求し、CEO 認証は直接的な説明責任のチャネルを生み出している。ガバナンスとは、取締役会が SIEM を操作することではない。高影響度の継承リスクに所有者、期限、検証済みのクロージャーがあることを示す証拠を取締役会が要求することである。

規制当局は異なる救済策を管理した。ICO は越境データ保護フレームワークを適用し、根拠のある制裁金を発行した。州司法長官は金銭、消費者の権利、詳細な保護措置を獲得した。FTC は長期プログラムと評価体制を課したが、その事案において民事制裁金を得る権限を欠いていたと述べた。異なる法的権限は異なる説明責任のアウトプットを生み出す。

ゲストは侵害前の条件をほとんど管理していなかった。彼らはログのカバレッジを検査できず、パスポート項目に一貫性のない保護があることを知らず、攻撃者が特権資格情報を使用したことを見ることができず、レガシーシステムが稼働し続けるかどうかを選択できなかった。侵害後の監視、カード交換、フィッシング注意喚起は、彼らに作業をシフトさせる。削除とロイヤルティレビューの権利は助けになるが、それは組織がデータアーキテクチャを選択した後に提供される。

結論できること、および公開記録の外に残ること

公開証拠は、スターウッドの予約環境が買収を越えて侵害されたままであり、マリオットがクロージング後ほぼ2年間侵入者を検知しなかったという確固たる結論を支持する。これは、定められた2018年の期間に対する ICO の4つの GDPR 所見を支持する。大規模で混合したグローバルレコード集団、2024年の米国和解、およびその結果として執行可能な保護措置の事実を支持する。

攻撃者を公的な刑事判決によって特定するものではない。報道は国家アクターの理論を伝えてきたが、レビューされた公式記録は未知の攻撃者または悪意あるアクターについて述べている。帰属は、公開起訴状または同等の権威ある証拠がない限り、主張されないままであるべきだ。

悪用された最初の脆弱性、到達されたすべてのホスト、削除されたすべてのファイル、データがアクセスされたすべての人物を正確に示すものではない。完全な Verizon フォレンジック報告書、ペイメントカードフォレンジック報告書、独立したコンプライアンス評価、完全な履歴ログセットを開示するものではない。

影響を受けたすべてのゲストが詐欺を経験したこと、またはゲストが全く損害を被らなかったこと、あるいはすべてのデータの組み合わせが同等の価値を持っていたことを立証するものではない。マリオットの2019年の立証された帰属可能な詐欺がないという観察と、ICO の観測された金銭的損害の欠如は証拠である。FTC によって認識された内在的ななりすましおよび標的型接触リスクも同様である。正直な結論は両方を保持する。

特定のカードやパスポートの値の復元可能性を見積もるのに十分な SHA-1 実装について、公衆に伝えるものではない。この訂正は、保護方法の誤分類を確立するものであり、不足している設定の詳細ではない。

現在のマリオットのプログラムが効果的でないことを証明するものではない。ポリシー、委員会、支出、規制上の和解、廃止されたデータベースは、後継のすべての管理策が効果的であることを証明するものでもない。その問いは、運用テストと独立評価に属する。

合併の教訓は不確実性の所有である

マリオットとスターウッドから得られる最も強力な教訓は、企業がレガシー技術を含む買収を放棄すべきだということではない。大規模な取引のほとんどすべてが、未知のシステム、不均一な記録、継承された例外を伴う。また、教訓は、買収したすべてのプラットフォームを直ちに廃止するために継続性を犠牲にすべきだということでもない。1,270のホテルを予約を維持しながら移行することは、現実の運用上の制約だった。

教訓は、不確実性そのものがクロージング時に所有されるリスクになるということだ。買収者は、クロージング前のアクセスが限定的であったことを認めつつ、クロージング後の無期限の曖昧さを受け入れることなく、継承されたネットワークを分離しつつ、分離をセキュリティと誤解することなく、レガシーデータベースを一時的に維持しつつ、それに一時的な基準を与えることなく、コンプライアンス報告書に依拠しつつ、それらの報告書がカバーしていない管理策をテストし、実際の項目レベルの実装を追跡した後にのみ暗号化について説明することができる。

スターウッドのデータベースは、国境を越えてホスピタリティを機能させるために組み立てられた、アイデンティティ、連絡先、ロイヤルティ、支払い、移動というビジネスモデルを縮図として含んでいた。その同じ組み立てが、不正利用をより経済的にし、法的説明責任をより分散させた。その物理的な所在地が米国にあることは、人々、損害、義務を局所化しなかった。継承されたという地位は、管理者の義務を停止させなかった。

2024年の FTC 命令は、買収の原則を執行可能な言葉で記述している。クロージング後に買収したエンティティを評価し、特定されたギャップに対して計画し、買収資産がマリオットの本番環境に入る前に不備に対処すること。このルールは全知よりも狭く、デューデリジェンスの芝居よりも強い。所有者に対して、信頼が拡大する前に、表明を証拠に変換することを求めている。

マリオットはスターウッドのブランド、ホテル、ロイヤルティ関係、システムを買収した。それらのシステムが実際に何をしていたかを発見する負担もまた買収した。侵害の記録は、アーキテクチャ上の信念と運用上の真実との間の距離がいかに高くつくかを示している。説明責任は、次のアラートがそれを行わなければならなくなる前に、その距離を縮めることから始まる。

タイポグラフィ

タイポグラフィは、書き言葉を読みやすく、判読しやすく、視覚的に魅力的にするために文字を配置する芸術と技法です。書体、ポイントサイズ、行長、行間、文字間隔の選択が含まれます。

  • タイポグラフィは、15世紀にヨハネス・グーテンベルクによって発明された活版印刷に端を発します。
  • 主要な要素には、フォントの選択、カーニング、トラッキング、行送りが含まれます。
  • 優れたタイポグラフィは読みやすさを向上させ、デザインの雰囲気やトーンを伝えます。