無縫地帯

米国で最大4,000万枚のカード情報流出という未曾有の事件が発生したようです

アメリカの小売大手Targetで4,000万枚にものぼるクレジットカードの情報流出事件が発生したということで震撼しております。クリスマス商戦真っ最中にとんでもない事態になってしまいました。

山本一郎です。私の知性も流出しそうです(意味深)。

ところで、セキュリティ関連でやや気になるニュースが流れていました。

米小売大手で100万件超のカード情報流出か、過去最大規模になる恐れ(ITmedia 2013/12/19)

現時点で被害件数は不明だが、100万枚以上のクレジットカード情報が流出したとの情報もあり、捜査関係者は過去最大級の情報流出事件に発展する可能性にも言及しているという。ITmedia
で、100万枚以上のクレジットカード情報流出というのはかなり大きな事件だなと見ていたわけですが、翌日になってみるとその数字が途方もない規模に跳ね上がっておりました。

大手量販店のTargetで史上最大級のハッキング被害―4000万人分のクレジットカード情報がまるごと流出(TechCrunch Japan 2013/12/20)
米ターゲット、ハッカー攻撃で最大4000万枚のカード情報流出(ロイター 2013/12/20)
米大手小売 4000万人分の個人情報流出か(NHKニュース 2013/12/20)

今日、アメリカ最大のチェーン店の一つ、Targetは「POSシステムに記録された約4000万人分のクレジットカードおよびデビットカードの情報が11月27日から12月15日の間に侵入者によって盗まれた」と発表した。TechCrunch Japan
具体的にはカードの利用者の氏名のほか、番号や有効期限、3桁のセキュリティー番号が流出した可能性があるということです。NHKニュース
流出したカード情報はネット上で決済するために必要十分な内容です。前日の報道で「100万件以上」という具体的な数字が出ていたのは、もしかするとすでに相当規模で不正と疑われる決済が行われており、それが原因で今回の事態が発覚したという可能性も考えられそうです。

今回の情報流出で使われた手法は、最近増えているオンラインからのデータベース攻撃といった形ではなく、店舗のカード読み取り機が狙われたとする説が濃厚なようです。

ターゲットでカード情報流出、レジの読み取り機に細工か(WSJ.com 2013/12/19)

被害は全米規模で、オンラインではなく実店舗で起きた。店頭で代金の決済に使用するカード読み取り機が不正に細工されたようだ。WSJ.com
店舗のカード読み取り機から悪意のある何者かにデータを取得されてしまえば、もはや不正注文を防ぐ手立ては皆無といっていいでしょう。

12月12日にBrian Krebsが漏洩の噂を最初に報じ、Krebsは「顧客のトラックデータのすべてが漏洩したらしい」と書いている。トラックデータというのはクレジットカードの裏面の磁気ストライプに記録されている情報だ。(中略)磁気ストライプの全記録データの盗難が最悪なのは、これによって本物とまったく同一の偽造カードが作成できるからだ。カード番号、名義、有効期限、セキュリティー・コードがあればオンラインで不正注文がいくらでもできるのは言うまでもない。TechCrunch Japan
1年間を通じて最も米国人が買い物をする日と言われるブラックフライデー周辺を狙ってカード情報を盗み、そのままさらに多くの人が消費活動に勤しむであろうクリスマス前後にそのカード情報で大量に発注を行えば、不正が発覚しにくいという確信的な犯行と言えます。これはおそらく米国の犯罪史に残る大事件でしょうし、クレジットカードという決済手段に対する人々の見方になんらかの影響を与える可能性もありそうです。

それにしても、もし本当に全米各地の店頭にあるカード読み取り機が一台一台クラックされていたとすると、明らかに組織犯罪のような規模でなければ実現するのはむつかしそうです。一体何者がやったのか気になるところです。ちなみに被害に遭ったターゲットの株価については「19日の米国株式市場で同社株は2.2%安で終了した」(ロイター)とのことですが、今後事件の発展の有り様によってはさらに下落する可能性もありそうですね。

あまりにもシャレにならない規模と計画性で、驚きを禁じ得ません。