セキュリティライターのBrian Krebsが、大手スーパーチェーンTargetのPOSシステムから盗まれたクレジットカード番号がカード屋のブラックマーケットで流通するまでの過程を、非常に詳しくおもしろく書いている。その大量の情報をここでご紹介するのは無理だが、彼は、一部のカードショップが、その貴重なお宝のような番号のために、Target専用のコーナーを設けていることを見つけた。
彼が、その悪名高いカードショップのサイトを某銀行の行員と一緒に訪ねたところ、一連のカードがTortugaというベース名で分類されていた。カード屋の業界用語でベースとは、カードの出所(でどころ)のことだ。そしてKrebsによると、Tortugaのカードの番号は、Targetから盗まれたカード番号だった。驚いたことに、ZIPコード(郵便番号)や州の名前の入ったカードが多かった。よその州の名前の入ったカードは、盗品かもしれないと銀行やお店が目星をつけやすいのだ。
顧客は、犯行を知って即座に対応しただろうか? 即座、ではなかった:
あなたも、心配すべきだろうか? 11月27日から12月15日までのあいだに、Targetの物理店舗で買い物をして、そのときクレジットカードまたはデビットカードをカード読み取り機にスワイプされていたら、答は“イエス”だ。ただし、犯人はあなたのカードを完全に複製することはできないし、現金を引き出したりオンラインで買い物をしたりはできない。Target広報部のMolly Snyderは、次のように書いている:
2. 不正にアクセスされたデータにゲストの誕生日や社会保障番号が含まれていた、という徴候もない。
3. 被害が及んだ可能性のあるCVVデータは磁気ストリップ上のデータであり、カード上に読める3~4桁の数字ではない。カード保有者がオンラインの購入ができるようになるのは、後者の数字によってだ。
TargetのCEO Gregg Steinhafelによると、顧客には短期的なディスカウントと、向こう1年間の無料のクレジットモニタリングが提供される:
[以下英文ママ; CEOによるディスカウント案内]
Krebsのアシストで行員がカード屋のサイトにアクセスしたニューイングランドの小さな銀行は、クリスマス終了後、5300枚のクレジットカードすべてを再発行するだろう。しかしそれでも、未チェックのカード39,994,700枚が残る〔総被害件数を4000万枚とした場合〕。
[原文へ]
(翻訳:iwatani(a.k.a. hiwa))