Targetが新型コロナで好調の食料品ピックアップサービスを全米展開

Target(ターゲット)は8月20日、食料品ピックアップサービスが全米で利用できるようになったと発表した。このサービスは今夏、中西部で始まり、同社はその際、間もなく全米で展開し数カ月内に1500店で提供すると話していた。そして今日、目標を達成したと同社は述べた。1500店は全店舗の85%近くにあたる。

TargetはShipt、そしてオンライン注文のOrder Pickup、Drive Upという即日カーブサイドサービスを通じて食料品配達をすでに提供していたが、要保冷食品の管理の問題で食料品ピックアップは提供できていなかった。しかし店舗の改装と、いくつかの店舗ではピックアップエリアのための拡張でこの問題をクリアした。

食料品ピックアップの計画を前に進めるために、Targetは新型コロナウイルス感染拡大に伴う問題に取り組まなければならなかった。数百の店舗を全面改装するという計画が新型コロナによって遅れた。まだ改装されていない店舗では、温度を調整できる保管倉庫を備えるために注文品ピックアップエリアを建設した。

新しい食料品ピックアップサービスでは、まだ全ての生鮮・冷凍食品を提供できていない。その代わり、すでに注文できる何千もの非生鮮品に加えて、人気のある750品目の生鮮・冷凍食品を利用できるようにした。これらの品目には、乳製品、パン、精肉、冷凍食品が含まれる。同社は、顧客が次に店舗でまとめ買いするまでの間にどのように食料品ピックアップサービスを使うかを勘案しながら取扱商品を決めた、と述べた。ただ、買い物客が店舗に足を運ぶ頻度を少なくしつつも大量のものをストックしている新コロナ時代にその選別が正しいのかは不明だ。

今週発表されたTargetWalmart(ウォルマート)の第2四半期決算では、消費者の買い物量が増えたことが示された。たとえば、Targetは消費者がより多くの品物を買うようになり、バスケットサイズは第2四半期に18.8%増えたと述べた。

こうした傾向がパンデミック後も続けば、小売業者はオンライン注文ピックアップを店舗での買い物と同様の品揃えにすることを検討する必要があるかもしれない。

生鮮・冷凍食品に加えて、Targetの買い物客はピックアップサービスが利用できる家庭用品、アパレルなどの部門の25万超の品目から選んで食料品の注文と一緒にピックアップできる。Targetのアプリ内でそれぞれ別の「カート」を設ける必要はなく、Targetのウェブサイトとアプリを分けなくてもいい。これはWalmart.comとWalmartのアプリでもそうだ。

ただし「Drive Up」の注文はこれまで同様にアプリでのみの利用となる。ウェブからの注文では店舗での受け取りか配達のみを選択できる。

Targetは食料品ピックアップの拡大を前倒して展開している。元々は、ホリデーシーズンまでの1500店舗達成を目標としていた。全店舗で食料品ピックアップを提供するのはいつごろになるかは明らかにしていない。

オンライン食料品注文は、TargetとWalmartの四半期決算の売上高にも貢献した。Targetの場合、同日サービスがオンライン販売の大半を占め、全サービスでは273%増えた。第2四半期にカーブサイドピックアップは734%増え、Shipt食料品配達は350%増加した。

画像クレジット: Target

[原文へ]

(翻訳:Mizoguchi

米大手小売りTargetが2兆円超えの過去最大Q2売上を記録、即配サービスが273%増加

Wallmart(ウォルマート)が米国時間8月18日に発表した新型コロナウイルスの感染拡大の影響を受けた収益改善に続き、Target(ターゲット)も8月19日、ウォールストリートの予想を見事に上回り、多くの主要な指標において記録的な四半期を達成した。ウォルマートは同日、第2四半期の既存店売上高が24.3%増加し、Targetの利益は前年同期比80.3%増の16億9000万ドル(約1792億円)となり、これまでで最も好調な四半期となったことを発表した。Targetによると、オンライン注文は特に人気が高く、デジタル売上が195%増加したとのこと。Drive Up(所定場所で自動車による受け取り)、Order Pick Up(アプリで注文後の受け取り)、Shipt(自宅への配達)などの当日配達サービスも273%の成長を記録している。

Targetは第2四半期、売上高、既存店売上高、調整後1株当たり利益(EPS)、粗利益率も予想を上回った。売上高は、予想の198億2000万ドル(約2兆1000億円)に対して230億ドル(2兆4370億円)。既存店売上高は、予想されていた5.8%を大幅に上回る24.3%、記録的な増加となった。1株当たり利益は、予想の1.58ドルに対し、3.38ドル。また、売上総利益率は予想が28.98%に対して30.9%だった。

同社は、売上高の伸びを、新型コロナウイルスの感染拡大の中で営業を続けてきたこと、Targetブランドに対する顧客の全体的な信頼、商品カテゴリーを超えて顧客の買い物意欲、デジタルサービス、そして何よりも第2四半期に顧客が店舗に戻ってきたことなど、多くの要因に起因していると分析している。

しかし後者の要因は、必ずしもTargetの買い物客が道を歩いていたということを意味するものではない。むしろ、オンラインでの注文と実店舗とのギャップを埋めるために、新型コロナウイルスの感染拡大に先立って同社が実施した投資の成果が表れている。第2四半期には、買い物客がウェブ注文の品物を受け取るためにTargetの店舗に向かったため、店舗内注文ピックアップは60%以上増加した。

オンラインで買い物をした後、指定された駐車場に車を停めて注文品を車に運んでもらうことができるTargetのDrive Upサービスは、第2四半期に700%以上の伸びを記録している。また、即日宅配サービスのShiptは昨年比350%増となった。

つまり、Targetの顧客が「オンラインショッピング」と考えているものの多くは、実際にはターゲットの店舗で売上が達成されていたということだ。実際に同社は、第2四半期の売上の90%以上を店舗で稼いでいると説明している。

画像クレジット:Target

Targetは、デジタルフルフィルメントサービスを構築するために、新しいアイデアを迅速にかたちにできる社内のエンジニアリングチームを活用するという、テック企業のようなアプローチを採った。例えば、4人のエンジニアを含む8人のチームが、2017年4月からDrive Upを構築し、同年夏までには社内でテストされた。そして同年秋までにTargetの一部店舗で利用可能に。そして2019年8月の時点で全国の店舗で利用できるようになった。

同社はまた、2017年に5億5000万ドル(約582億円)でShiptを買収し、さらに最近では5月にDelivから当日配達技術を買収するなど、Eコマース事業を支援するために重要な買収を進めてきた。また、Targetの買い物客にリーチするためにShiptの専用ブランドだけに頼るのではなく、Shiptの当日配達サービスを自社のウェブサイトとアプリに直接統合した。

これらの努力の成果、顧客が必ずしも店舗の通路を直接歩いて買い物をしたいとは思わない、現在のパンデミックの中で実を結びつつある。結果、米国Yahoo!ファイナンスは同社の小売事業を「テクノロジー企業のような成長」と表現した。

2017年11月8日 にテキサス州サウス・リッチモンドに開店したTarget Houston–Richmond(画像提供:Anthony Rathbun/AP Images for Target)

TargetのBrian Cornell(ブライアン・コーネル)会長兼CEOはさらに、同社が2020年の最初の6カ月間に50億ドル(約5300億円)の市場シェアを獲得し、その間に新たに1000万人のデジタル顧客を獲得したことを明らかにした。

「第2四半期の既存店売上高の成長率24.3%は、これまでに報告された中で最も高い数値であり、これは当社のチームの回復力とビジネスモデルの耐久性を示す真の証です。当社の店舗がこの前例のない成長の鍵となり、店舗内の既存店売上高は10.9%の成長を遂げ、デジタル売上高の4分の3以上を店舗が占め、200%近く増加しました」とコメント。「また当四半期には、従業員の給与や福利厚生に多額の投資を行ったにもかかわらず優れた収益性を達成しました。当社は、顧客に安全で便利なショッピング体験を提供するために投資することに重点を置いており、顧客からの信頼を得て年初の6カ月間に50億ドルの市場シェアを獲得しました」と続けた。

「差別化されたマーチャンダイジング(顧客の嗜好に合わせた)の品揃え、さまざまな注文&配達サービスト、強固なバランスシート、そしてチームの献身的な努力により、パンデミックの継続的な課題に対処し、今後も収益性の高い成長を続けていくための十分な設備を備えています」と同氏。

パンデミックは、顧客が何を購入するかにも影響を与えました。同社によると、主要商品カテゴリーの5つすべてで売上が増加したそうだ。これは、仕事や学校、娯楽のために家にいる人が増え、コンピュータやゲームシステムなどの購入が増えたことにより、前年比70%増となったエレクトロニクス部門の売上が最も好調だったことに起因している。次いでエレクトロニクスが30%増、ホームプロダクツが30%増、ビューティー、食品・飲料、生活必需品が20%増と続いた。アパレルは第1四半期の20%の減少から第2四半期には2桁の増加に転じた。顧客の買い物かごのサイズ(購入金額)も18.8%増加した。

ウォルマートと同様に、Targetも政府の景気刺激策の影響を受けているが、これは次の四半期には縮小すると見られている。しかし同社は、新型コロナウイルスの危機により消費者の買い物パターンや政府の政策が予測不可能になっているとし、2020年の同社Q3以降の予測の言及を拒否した。

画像クレジット:Bryce Durbin/TechCrunch

原文へ

(翻訳:TechCrunch Japan)

米トイザらスのウェブサイトが再開、オンライン販売は小売大手Targetが担当

Toys “R” Us(トイザらス)が、小売大手Target(ターゲット)との新たな提携を得てオンラインに戻ってきた。トイザらスが経営破綻した後に買収し親会社となったTru Kidsは、米国全土での実店舗オープンの第一歩としてToysRUs.comのウェブサイトを再開したと発表した。復活に向けた戦略の一環で、トイザらスのウェブサイトの製品ページから購入しようとするとTarget.comにリダイレクトされるようになっている。

両社は契約条件を明らかにしていないが、売上に関しては双方にメリットのあるシナリオになっていることは明らかだ。トイザらスは、今でもトップランクの知名度を誇るドメインであるtoysrus.comからすぐにキャッシュフローを得られる。一方のターゲットは、トイザらスの経営破綻と再開を知らずにToysRUs.comを訪れた買い物客が流入して新たな売上が増える。

トイザらスの新しいウェブサイトは、オンラインの買い物客をターゲットにリダイレクトするだけではない。最新のおもちゃのトレンド、人気ブランドに関する記事やビデオのほか、詳細な製品レビュー、おもちゃの人気リスト、ブランドごとのページなどがトイザらス自体のサイトに掲載されている。購入しようとしたときだけ、顧客はターゲットにリダイレクトされて手続きをすることになる。

トイザらスのサイトの購入ボタンには、ターゲットのサイトで購入するということが明確に書かれているので混乱することはない。ターゲットのブランド色である赤と白のボタンで「buy now at [target].com」と書かれているのだが、[target]の部分は文字列ではなく、ターゲットのロゴのアイコンになっている。

トイザらスからターゲットにリダイレクトされて購入する場合でも、ターゲットから直接購入するのと同じメリットがある。配送や店舗受け取りで注文できるほか、Target Circleのポイントが貯まるし、ターゲットのREDcardで支払うと5%割引になる。

両社の新しい提携関係は、従来型のオンラインショップで製品を購入する顧客をリダイレクトするだけではない。

トイザらスが今秋、テキサス州ヒューストンとニュージャージー州パラマスに体験型店舗をオープンする際に、ターゲットがオンライン販売のフルフィルメントも担当する。

Tru Kidsは今年7月に、技術系スタートアップのb8ta(ベータ)と提携し、STEAM(Science、Technology、Engineering、Art、Mathematicsの頭文字。科学、技術、エンジニアリング、アート、数学の教育のこと)ワークショップや子供が中に入って遊べるツリーハウス、映画やゲームのシアターを備え、ブランドがインタラクティブに製品を展開できる、最新型の店舗を作ると発表していた。

新たにオープンする店舗では、購入したい製品が店舗にない場合にその場で注文すると、Target.comで処理される。

ターゲットのマーチャンダイジング担当シニアバイスプレジデントのNikhil Nayar(ニキル・ナヤ)氏は「おもちゃ、デジタル、フルフィルメントにおけるターゲットのリーダーシップは、トイザらスにとって最高のプラットフォームだ。トイザらスのファンを再び呼び戻し、ターゲットで簡単で便利に購入してもらうことができる。トイザらスの新しい展開にターゲットの利点を生かすことで、我々はおもちゃを購入する人にもっと貢献でき、新たな成長を加速して、おもちゃにおけるリーダーシップを確立できる」と述べている。

ここ数週間で、ターゲットはトイザらスのほかにもおもちゃ関連で注目すべき提携を発表していた。8月末にターゲットは、同社の店舗内にミニディズニーストアを開設し、おもちゃ、アパレル、コレクターズアイテム、生活雑貨などを販売することでディズニーと合意したと発表していた。すでに25のディズニー「ショップ・イン・ショップ」がオープンし、2020年にはさらに数十のショップがオープンする予定だ。

以前のトイザらスの役員で現在はTru KidsのCEOのRichard Barry(リチャード・バリー)氏はターゲットとの提携について「我々の米国での戦略は、体験を重視し、充実したコンテンツを備えたオムニチャネルの方針を通じて、トイザらスブランドを最新の形で蘇らせることだ」と述べている。

同氏は「こうした戦略の基盤には、小売業のリーダーの手助けが必要だ。新しいトイザらスの購入体験は家族が無限におもちゃを発見し、遊び、楽しめるように設計されており、ターゲットはこの体験を支援する理想的な小売業者だ。ターゲットはおもちゃの品揃え、デジタルの強み、短時間配送に優れているので、トイザらスが目指す体験を実現する力になるだろう」と説明している。

[原文へ]

(翻訳:Kaori Koyama)

米小売大手Targetが「車に乗ったまま商品受け取り」サービスを全米展開

Targetは米国時間8月29日、注文したものをカーブサイド(道路脇)で同日にピックアップできるサービス「Drive Up」が全米50州で利用できるようになったと発表した。このサービスでは、消費者はオンラインで買い物したあと地元の実在店舗に行って決められた場所に車を停めると、購入したものをTargetのスタッフが車まで持ってきてくれる。

技術的な要件、インフラ、オンライン注文に早急に対応するために必要な運用の変更などを考えたとき、Drive Upはかなり速いペースで拡大してきた。

同社は2018年4月に初めて、同社の本拠地マーケットである米国ミネアポリス・セントポール近くの店舗でDrive Upを導入した。そこでは2017年10月からテストが行われていた。正式なサービス開始で、Drive Upはすぐさまフロリダやテキサス、南東エリアの約270店舗で利用できるようになった。計画では2018年末までに1000店舗で展開するとしていたが、夏までに800店舗を超えた。

そして2018年10月に1000店舗というマイルストーンを達成した。

いま、学校が始まる前の買い物時期だが、Drive Upは1500店舗超で利用できるようになっている。

直近では、アラスカ、ハワイ、ワシントン、オレゴン、アイダホ、ノースダコタ、サウスダコタ、モンタナ、ワイオミングでの提供が開始し、今日のサービス拡大発表時点では、Drive Upの利用が可能な店は1750店舗に達した。店舗でこのサービスを新たに開始するときには、初めて利用する客におまけとして製品サンプルを配り、またの利用を促している。

店内には入らないとしても、総じてDrive Upは店舗に消費者を連れてくるのに貢献しているようだ。

導入から2年もかからずして、Drive UpはTargetの最も人気のサービスとなった。直近の決算でTargetは、Drive Upのオーダー件数が今年上半期だけで500万件近くにのぼり、これは2018年の総数の倍以上となる、と記している。

Targetは最近、第2四半期に同日ピックアップをオーダーした客のおおよそ5人に1人がTargetでの注文は初めてだったとも述べた。

Drive Upのバックエンド、そしてカーブサイドでの注文品のピックアップや引き渡しも、時間とともに改善しつつある。

立ち上げ当初、TargetはDrive Up注文を2時間以内に用意することができるとしていた。しかし今では1時間でできると話す。

今年のクリスマス商戦シーズンまでにTargetは、米国にある店舗1855店のほとんどでDrive Upサービスを提供するとしている。

「我々は顧客からはっきりとしたメッセージを受け取った。買うものが家庭用品だろうが、ドライブのスナックだろうが、はたまた赤ちゃん用品だろうが、客は絶対的にDrive Upの手軽さと便利さを好む」と、同社の上級副社長Dawn Block(ドーン・ブロック)氏は同サービスの全国拡大についての発表文で述べた。「なので、我々のチームは導入から2年もたたずして全50州に拡大すべく、懸命に取り組んだ。この取り組みはまだ終わっていない。チームはこのサービスがさらに良いものになるよう模索している」。

しかしながらこのサービスに競合するものがないわけではない。

Walmart(ウォルマート)は、車に乗ったまま商品が受け取れるサービスを2500店舗超で提供している。Sam’s Club(サムズ・クラブ)は全国での同日ピックアップを7月に発表した。これまで実在店舗を持っていなかったAmazonは車での商品受け取りの脅威に素早く反応してきた。最近では、Rite Aid(ライト・エイド)との新たな提携を発表した。この提携では、年末までに1500店舗となることが予想されるRite Aidの店で商品ピックアップができるという、無料の Counterサービスが始まる(AmazonはまたいくつかのWhole Foodsでグローサリーピックアップを提供している)。

だが、店舗での商品ピックアップはカーブサイドサービスほどに便利ではない。特にカーブサイドをよく利用する親、中でも小さな子供を持つ人にとってはそうだ。例えば、TargetのDrive Upのベストセラー商品はおむつやお尻拭き、粉ミルクだったりする。

Drive UpはTargetがAmazonに対抗する策のひとつだ。Targetはまた、同日配達サービスShiptや、オンライン注文のピックアップ、日用品の購読サービス、Prime Pantryに対抗する翌日配達サービスのTarget Restockを展開している。

[原文へ]

(翻訳:Mizoguchi)

米スーパー最大手ターゲットのレジが2日連続でダウン

また今日(米国時間6/16)もTarget(ターゲット)のレジが止まった。

スーパー最大手のレジが2日続けてダウンしたことで、多くの人々がソーシャルメディアで不満をつのらせた。多くの店舗で現金とギフトカード以外受け付けられなかった。土曜日(米国時間6/15)にもTargetのグローバルPOSシステムがダウンし、2時間以上会計できなくなる事故があったばかりだ。

Targetは昨日の声明で、「これは漏えいやセキュリティー関連の問題ではなかった」ことを確認し、「顧客情報の侵害は一切なかった」と発表した。同社は障害の原因を「社内の技術的問題」であると言ったが詳細は明らかにしなかった。

小売業の巨人は2013年のデータ漏えいで1.62億ドル(約176億円)の出費を余儀なくされた。

Targetの広報担当、Jenna Reck氏は声明で次のように語った。

他の多くの企業と同じく、TagetはNCRのシステムをチェックアウトに使用しており、日曜日の午後NCRは同社のデータセンターの一部で問題を発見した。これはTargetのITシステム内の問題ではなかったが、一部の店舗では約90分間カード支払いを処理できなかった。現在問題は解決しており、支払いは通常通り行われている。なお、これはセキュリティー関連の問題ではなく、支払い情報の漏えいもなかったことをお知らせする。土曜日の問題との関連はなかったが、多くのお客様に週末の買い物で不便をおかけしたことをお詫びする。お客様に迷惑をかけないために、今後このようなことが起きないよう不断の努力を続ける所存だ。

[原文へ]

(翻訳:Nob Takahashi / facebook

Targetの最新インキュベータープログラムは「世界を救う」ことを目指す

Target(米国の全国的な量販チェーン)はスタートアップアクセラレーターの運営と無縁ではない。同社は現在、Target + Techstarsプログラム、美容に注力するTarget Takeoff、インドを拠点とするTarget Acceleratorプログラムを運営している 。そして今、4番目のビジネスアクセラレーターとして、Target Incubatorを追加しようとしている。 この新しいプログラムはZ世代(およそ1990年代半ばから2000年代前半生まれの世代)の起業家たちを対象としており、決まっていることは、対象とするビジネスは何らかの社会貢献をするということだけである。

Targetが述べるように、対象となるビジネスはただひたすらに「人びとや地球をよりよくする」ことを目指す必要がある。

その幅広い要件は、新しい製品アイデア、新技術、または新しいサービスを含む幅広いビジネスの範囲をカバーすることができる。Targetは、このことによって、食料品を得る手段から、温室効果ガス排出に至るあらゆることをカバーできると語っている。

またビジネス自身がそれほど進んでいる必要もない。Targetが要求していることは、成果を得るためにある程度のステップを既に踏み出しているか否かであり、ビジネスそのものが既に公開されている必要はない。単に「アイデア」以上のものであり、法的な実体を持っていることが要求されるだけである。また創業者は、過半数の所有権(51%以上)を持っていることが期待される。

Targetはこのプログラムのための8種類のビジネスを選択し、1種類のビジネスについて最大2メンバーを、直接新しいインキュベーターに迎え入れると語る。

これらの主に「Z世代」に焦点を当てられた起業家たちは、まず2019年の4月から6月にかけて、毎週1時間のオンラインプログラムに参加する、その後2019年の7月の半ばから8月初めにスタートする、2ヶ月間にわたる対面のインキュベータープログラムに参加する(ミネアポリスのTarget HQで開催)。

そのプログラムの間、参加者たちはTargetのリーダーたちや他のビジネスからのメンターシップを受け、ワークショップや、学習セッション、そしてチームビルディングイベントに参加し、テーマに関連する専門家へ業界を横断したアクセスを行うことができ、そして他の創業者の発展と成長の機会に立ち会うことができる、とTargetは語る。

応募受付は月曜日(米国時間8月15日)に始まり、10月29日に締め切られる。その後最終候補者に対するインタビューを経て、12月5日に採用が決定される。

選ばれたビジネスには、Targetから1万ドルの奨励金も支給される。

そしてまたTargetはインタビューのための旅費等の経費や、8週間の対面プログラム(最後はデモデーで締めくくられる)のための交通費と宿泊費を支給する。

Targetにとっては、スタートアップに関与することで、初期段階でビジネスに投資する機会が得られるため、最終的にはTarget自身の最終的な利益に役立つ可能性がある。また特に若い顧客を呼び込むトレンドを押さえておくためにも役立つ ―― そして、Amazonとの戦いをも助けてくれるだろう。

同社は既に、オンラインマットレス会社Casperへの投資や、Bevel、Harry’s、Bark、Who What Wear、Native, Quip、Rocketbook、GIR、NatureBox、Hello、そしてothersといったデジタルファーストのブランドとの提携を通して、新興ブランドと協業する企業であるという地位を確立している。また昨年には、即日配送サービスのShiptを買収している。ShiptはTargetがホットな食料品配送市場に参入することを助ける新興企業である。

新しくてデジタルファーストの企業と協業するだけでなく、Targetはさらに「良い」ことをなすビジネスに手を伸ばそうとしている。現在(Targetが「Z世代」と呼ぶ)多くの若い買い物客たちの足を店舗に運ばせるのは、単に価格だけではない。彼らはしばしば気分の良い買い物をしたいと思っている。例えば、その会社の使命を信用していたり、買い物をすることによってその持続的ビジネスを支援できることは、その気分の良さを支えてくれる。Target Incubatorはまた、Targetに対して、現在のそうしたビジネスに初めて出会うチャンスを与えるだろう。

[原文へ]
(翻訳:sako)

画像クレジット: Justin Sullivan / Getty Images

Targetはクレジットカード情報の盗難の危険性を事前に知っていて, 何も対策しなかった

Bloomberg Businessweekに載った苛烈な記事によると、リテイラーのTargetは、同社のセキュリティシステムに危険が生じたことを知らされてから二週間も、その事態を放置した。〔関連記事(1)(2)。〕

実は昨年から、Targetはセキュリティ企業FireEyeを利用して、サーバ上のマルウェアを監視させていた。バンガロールにレスポンスチーム(事故対応チーム)を置くFireEyeが、ミネアポリスのTarget本社に、同社がハックされたことを告げたのは11月30日だった。そしてそれに関して、誰も何もしなかった。

つまり、Bloomberg誌によると、“何らかの理由でミネアポリスは、警報に反応しなかった”。

その記事はやけに詳しくて、読み物としてもおもしろいが、TargetのセキュリティシステムだけでなくFireEyeの“ハニーポット”サーバについても説明している。それは犯人たちを、本物のサーバに侵入したと思わせる囮(おとり)のサーバで、FireEyeはそれを監視している。しかし、そのあとの話がこわい。

”その侵犯は人間が介入しなくても阻止できた。システムには、マルウェアを検出したら自動的に削除するオプションがあった。しかしその侵入事件のあとでFireEyeのパフォーマンスを監査した二人の人物によると、Targetのセキュリティチームはその機能を無効にしていた。同じくFireEyeを1年あまり使っていた航空機メーカーBombardier Aerospace社の主席セキュリティ担当役員Edward Kiledjianは、それは異例なことではない、と言う。“セキュリティチームというものの習性として、対策の最終決定を自動機械(ソフトウェア)にやらせず、自分でやりたいんだよ”、と彼は言う。しかし、と彼は警告する、“ソフトの自動化機能をoffにしておくと、感染しているコンピュータを早急に見つけて無害化することが、チームの責任になってしまうのだ”。

結局のところ、最後に残ったものは、Target側の怠慢と、FireEye側の明快な名誉回復努力だ。Targetがそのマルウェアを削除する気にならなかったのだから、FireEyeに落ち度はない、と記事は結論している。責任のなすり合いには発展しなかったものの、明らかに、先週辞めたTargetのCIO Beth Jacobが、すべての批難の矢面(やおもて)に立つことになる。

教訓は、良かれと思った計画も往々にして裏目に出る、ということ。Bloomberg Businessweekの元記事はここにある

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


大手スーパーのTarget、カード情報流出の賠償金額は最大36億ドル

Targetにとってはメリークリスマスどころではないようだ。先週同社は、顧客のクレジットカード情報4000万件が盗まれたことを公表した。その結果、小売業巨人の賠償額は最大36億ドルに上るようだ。

Targetは、データが流失したカード保有者一人につき90ドルの罰金を課される可能性があり、その場合総額は36億ドルに相当する、SuperMoneyのウェブサイトは書いている。

内訳はこうだ。すでにTargetは、あらゆる種類の訴訟に直面する可能性が高く、これに同社システム基盤のセキュリティーを全面的に見直すためのコストが加わる。ただし、それはごく一部にすぎない。去る2006年に、Visa、American Express、JCB、Discover、およびMasterCardは、PCIセキュリティー評議会を設立し、新たなカード情報セキュリティー標準(PCI DSS)を監視している。

このデータセキュリティー標準は、各組織がカード保有者情報を管理する方法を定めている。当然、この標準はカード詐欺を可能性を減らすことが目的だ。Target等の企業は、通常年に1回PCI評議会の審査を受け、正しい運用がなされているかどうかを確認する。PCI評議会としては、自らが承認したシステムが破られたことはないと言いたいところだが、実はそうでもない。評議議会は、企業に違反があった際遡及的に承認を取消すことがある。

いずれにせよ、Targetは極めて厳しい状況にある。彼らは、民事制裁金、クレジットカード会社による取扱中止、会社にとって重大な顧客からの信用を失墜など様々な困難に直面することになる。すでに4州が、集団訴訟に関する質問をTargetに寄せている。同社の大きなターゲット(標的)のロゴが突如として全く新しい意味を持ち始めた。

しかし、本当の損害が明らかになるのは、カード保有者当たりの罰金が累績した時だ。仮に企業が100%PCIに準拠していたとしても、「カード情報の流出は起こり得る。データを盗まれたカード保有者当たりの罰金は50~90ドルに上る」とFocus On PCIのウェブサイトは言っている。T.J. Maxxは、2007年に9000万件のカード情報が盗まれた際、同様の窮地に陥った。 

今回の流出が起きた原因には、数多くの説がある。しかし最悪なのは、これがわれわれ一般人に影響を及ぼしていることだ。ここアメリカでわれわれが使っているクレジットカードには、すべて磁気ストライプが付いている。盗まれたデータはすべてカードから読み込まれたものであり、偽造カードに書き込まれてブラックマーケットに売られる、とセキュリティー専門家のBrian Krebsは指摘し、本誌のJohn Biggsも解説している。

すべての責任をTargetに帰すること簡単だ。しかし昔ながらの磁気ストライプは、詐欺師たちによる偽造を著しく容易にする。ICチップによるデータ暗号化はヨーロッパをはじめ世界各所で何年も前から使われているが、米国は大きく出遅れており、ブラックマーケットのハッカーにとって安住の地となっている。ICチップは万能ではないが、この巨大な混乱の中で最も弱い立場にある消費者を保護することに関しては大いに役に立つ。

(トップ画像:via Flickr)

[原文へ]

(翻訳:Nob Takahashi / facebook


大手量販店のTargetで史上最大級のハッキング被害―4000万人分のクレジットカード情報がまるごと流出

今日、アメリカ最大のチェーン店の一つ、Targetは「POSシステムに記録された約4000万人分のクレジットカードおよびデビットカードの情報が11月27日から12月15日の間に侵入者によって盗まれた」と発表した。

Targetの発表によれば、同社は不法アクセスに気づくと同時に捜査当局と金融機関に通報し、「適切な対処の準備を整えている」という。また外部の専門家に依頼して攻撃相手、侵入の範囲を調査しているということだ。

顧客の氏名、カード番号、有効期限、3桁のCVVセキュリティー・コードのすべてが盗まれた。被害に遭ったのはTargetの店舗でショッピングをした顧客に限られる。

Targetの反応は非常に遅かった。12月12日にBrian Krebsが漏洩の噂を最初に報じ、Krebsは「顧客のトラックデータのすべてが漏洩したらしい」と書いている。トラックデータというのはクレジットカードの裏面の磁気ストライプに記録されている情報だ。

Targetの広報担当、Katie Boylanは「当社はできるかぎりの資源を対策に注いでおり、捜査当局およびトップクラスの情報犯罪対策企業と共同で事態の解明に取り組んでいる。[そのため] 現在これ以上のコメントはできない」と述べた。

ハッキング被害そのものは珍しいものではないが、これほどの規模の信用情報流出となると非常に稀だ。2009年に支払サービスのプロバイダーが1億3000万人分のカード番号を流出させたことがあった。しかし想定される実害の程度を考えると今回のTargetの事件はは間違いなく史上最大級の漏洩だ。

磁気ストライプの全記録データの盗難が最悪なのは、これによって本物とまったく同一の偽造カードが作成できるからだ。カード番号、名義、有効期限、セキュリティー・コードがあればオンラインで不正注文がいくらでもできるのは言うまでもない。「クリスマスを控えたこの時期、最悪のタイミングで漏洩が起きた」とSophosのセキュリティー調査部門の責任者、James Lyneは語った。

Targetは顧客に対して、頻繁に利用状況をチェックするなどカードの不正使用に対して警戒するよう呼びかけている。

[原文へ]

(翻訳:滑川海彦 Facebook Google+