Targetはクレジットカード情報の盗難の危険性を事前に知っていて, 何も対策しなかった

Bloomberg Businessweekに載った苛烈な記事によると、リテイラーのTargetは、同社のセキュリティシステムに危険が生じたことを知らされてから二週間も、その事態を放置した。〔関連記事(1)(2)。〕

実は昨年から、Targetはセキュリティ企業FireEyeを利用して、サーバ上のマルウェアを監視させていた。バンガロールにレスポンスチーム(事故対応チーム)を置くFireEyeが、ミネアポリスのTarget本社に、同社がハックされたことを告げたのは11月30日だった。そしてそれに関して、誰も何もしなかった。

つまり、Bloomberg誌によると、“何らかの理由でミネアポリスは、警報に反応しなかった”。

その記事はやけに詳しくて、読み物としてもおもしろいが、TargetのセキュリティシステムだけでなくFireEyeの“ハニーポット”サーバについても説明している。それは犯人たちを、本物のサーバに侵入したと思わせる囮(おとり)のサーバで、FireEyeはそれを監視している。しかし、そのあとの話がこわい。

”その侵犯は人間が介入しなくても阻止できた。システムには、マルウェアを検出したら自動的に削除するオプションがあった。しかしその侵入事件のあとでFireEyeのパフォーマンスを監査した二人の人物によると、Targetのセキュリティチームはその機能を無効にしていた。同じくFireEyeを1年あまり使っていた航空機メーカーBombardier Aerospace社の主席セキュリティ担当役員Edward Kiledjianは、それは異例なことではない、と言う。“セキュリティチームというものの習性として、対策の最終決定を自動機械(ソフトウェア)にやらせず、自分でやりたいんだよ”、と彼は言う。しかし、と彼は警告する、“ソフトの自動化機能をoffにしておくと、感染しているコンピュータを早急に見つけて無害化することが、チームの責任になってしまうのだ”。

結局のところ、最後に残ったものは、Target側の怠慢と、FireEye側の明快な名誉回復努力だ。Targetがそのマルウェアを削除する気にならなかったのだから、FireEyeに落ち度はない、と記事は結論している。責任のなすり合いには発展しなかったものの、明らかに、先週辞めたTargetのCIO Beth Jacobが、すべての批難の矢面(やおもて)に立つことになる。

教訓は、良かれと思った計画も往々にして裏目に出る、ということ。Bloomberg Businessweekの元記事はここにある

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


大手スーパーのTarget、カード情報流出の賠償金額は最大36億ドル

Targetにとってはメリークリスマスどころではないようだ。先週同社は、顧客のクレジットカード情報4000万件が盗まれたことを公表した。その結果、小売業巨人の賠償額は最大36億ドルに上るようだ。

Targetは、データが流失したカード保有者一人につき90ドルの罰金を課される可能性があり、その場合総額は36億ドルに相当する、SuperMoneyのウェブサイトは書いている。

内訳はこうだ。すでにTargetは、あらゆる種類の訴訟に直面する可能性が高く、これに同社システム基盤のセキュリティーを全面的に見直すためのコストが加わる。ただし、それはごく一部にすぎない。去る2006年に、Visa、American Express、JCB、Discover、およびMasterCardは、PCIセキュリティー評議会を設立し、新たなカード情報セキュリティー標準(PCI DSS)を監視している。

このデータセキュリティー標準は、各組織がカード保有者情報を管理する方法を定めている。当然、この標準はカード詐欺を可能性を減らすことが目的だ。Target等の企業は、通常年に1回PCI評議会の審査を受け、正しい運用がなされているかどうかを確認する。PCI評議会としては、自らが承認したシステムが破られたことはないと言いたいところだが、実はそうでもない。評議議会は、企業に違反があった際遡及的に承認を取消すことがある。

いずれにせよ、Targetは極めて厳しい状況にある。彼らは、民事制裁金、クレジットカード会社による取扱中止、会社にとって重大な顧客からの信用を失墜など様々な困難に直面することになる。すでに4州が、集団訴訟に関する質問をTargetに寄せている。同社の大きなターゲット(標的)のロゴが突如として全く新しい意味を持ち始めた。

しかし、本当の損害が明らかになるのは、カード保有者当たりの罰金が累績した時だ。仮に企業が100%PCIに準拠していたとしても、「カード情報の流出は起こり得る。データを盗まれたカード保有者当たりの罰金は50~90ドルに上る」とFocus On PCIのウェブサイトは言っている。T.J. Maxxは、2007年に9000万件のカード情報が盗まれた際、同様の窮地に陥った。 

今回の流出が起きた原因には、数多くの説がある。しかし最悪なのは、これがわれわれ一般人に影響を及ぼしていることだ。ここアメリカでわれわれが使っているクレジットカードには、すべて磁気ストライプが付いている。盗まれたデータはすべてカードから読み込まれたものであり、偽造カードに書き込まれてブラックマーケットに売られる、とセキュリティー専門家のBrian Krebsは指摘し、本誌のJohn Biggsも解説している。

すべての責任をTargetに帰すること簡単だ。しかし昔ながらの磁気ストライプは、詐欺師たちによる偽造を著しく容易にする。ICチップによるデータ暗号化はヨーロッパをはじめ世界各所で何年も前から使われているが、米国は大きく出遅れており、ブラックマーケットのハッカーにとって安住の地となっている。ICチップは万能ではないが、この巨大な混乱の中で最も弱い立場にある消費者を保護することに関しては大いに役に立つ。

(トップ画像:via Flickr)

[原文へ]

(翻訳:Nob Takahashi / facebook


大手量販店のTargetで史上最大級のハッキング被害―4000万人分のクレジットカード情報がまるごと流出

今日、アメリカ最大のチェーン店の一つ、Targetは「POSシステムに記録された約4000万人分のクレジットカードおよびデビットカードの情報が11月27日から12月15日の間に侵入者によって盗まれた」と発表した。

Targetの発表によれば、同社は不法アクセスに気づくと同時に捜査当局と金融機関に通報し、「適切な対処の準備を整えている」という。また外部の専門家に依頼して攻撃相手、侵入の範囲を調査しているということだ。

顧客の氏名、カード番号、有効期限、3桁のCVVセキュリティー・コードのすべてが盗まれた。被害に遭ったのはTargetの店舗でショッピングをした顧客に限られる。

Targetの反応は非常に遅かった。12月12日にBrian Krebsが漏洩の噂を最初に報じ、Krebsは「顧客のトラックデータのすべてが漏洩したらしい」と書いている。トラックデータというのはクレジットカードの裏面の磁気ストライプに記録されている情報だ。

Targetの広報担当、Katie Boylanは「当社はできるかぎりの資源を対策に注いでおり、捜査当局およびトップクラスの情報犯罪対策企業と共同で事態の解明に取り組んでいる。[そのため] 現在これ以上のコメントはできない」と述べた。

ハッキング被害そのものは珍しいものではないが、これほどの規模の信用情報流出となると非常に稀だ。2009年に支払サービスのプロバイダーが1億3000万人分のカード番号を流出させたことがあった。しかし想定される実害の程度を考えると今回のTargetの事件はは間違いなく史上最大級の漏洩だ。

磁気ストライプの全記録データの盗難が最悪なのは、これによって本物とまったく同一の偽造カードが作成できるからだ。カード番号、名義、有効期限、セキュリティー・コードがあればオンラインで不正注文がいくらでもできるのは言うまでもない。「クリスマスを控えたこの時期、最悪のタイミングで漏洩が起きた」とSophosのセキュリティー調査部門の責任者、James Lyneは語った。

Targetは顧客に対して、頻繁に利用状況をチェックするなどカードの不正使用に対して警戒するよう呼びかけている。

[原文へ]

(翻訳:滑川海彦 Facebook Google+