2016年6月、ハードロックホテル＆カジノ・ラスベガスは、情報セキュリティのインシデントについての声明を発表した。利用者の個人情報が漏えいした可能性が極めて高い、というものである。もしも、2015年10月27日から2016年3月21日の間に、このホテルのリゾートエリアを訪れていたのであれば、個人情報が流出した可能性がある、ということになる。

事の発端は、ハードロックホテル＆カジノ側が、カード支払いに関する不正な操作について、幾つかの報告書を受け取ったことから始まる。その後、直ちにホテル側はカード支払い方法についての調査を開始した。

発表によれば、調査の結果、2016年5月13日に不正アクセスの痕跡がリゾートエリアにおけるカード支払い環境で認められた。さらに調査を進めたところ明らかになったのは、カードを使用できなくしてしまうマルウェアの存在だった。同マルウェアはリゾートのカード支払いシステムのデータを標的にしていたのである。

このマルウェアは支払いカードのデータ情報のうち、例えば、カードの所持者の名前、番号、有効期限、内部認証コードなどを抜き出していた。また他のプログラムは、カード所持者の名前以外の情報を収集していた。

ハードロックホテル＆カジノは、すでに当局に通報していることも明らかにした。支払いカード会社のネットワークと連携をとり、被害を受けるかもしれないカードへの監視を強めるためである。

上記の期間に同ホテルのリゾートエリアでカードを利用した人は全て、カード情報の漏えいの被害に遭っているかもしれないので、早急に銀行と連絡をとるよう同ホテルは促している。

標的型攻撃は、あらゆる組織をターゲットにすることができる。実際に、さまざまな組織機関の被害が報告されている。しかし今回のこの攻撃は、名の通ったホテルの顧客情報であり、プロファイルとしてはかなりレベルが高い。こうした組織への攻撃は最近では珍しい事例と言えるだろう。

折しも、米国インターネット犯罪苦情センター（IC3）は2016年6月初頭に、オンライン上でネット犯罪者たちがデータ侵害で暗躍しているという警告を発表している。

これによると、レベルの高いプロファイルのデータ漏えいのニュースがあれば、犯罪者たちはすぐさまそれを悪用して恐喝キャンペーンを開始する一方で、FBIは、恐喝メールの内容が多様であるために複数の人間がこの恐喝キャンペーンに加わっているのではないかと疑っている。