今日、アメリカ最大のチェーン店の一つ、Targetは「POSシステムに記録された約4000万人分のクレジットカードおよびデビットカードの情報が11月27日から12月15日の間に侵入者によって盗まれた」と発表した。
Targetの発表によれば、同社は不法アクセスに気づくと同時に捜査当局と金融機関に通報し、「適切な対処の準備を整えている」という。また外部の専門家に依頼して攻撃相手、侵入の範囲を調査しているということだ。
顧客の氏名、カード番号、有効期限、3桁のCVVセキュリティー・コードのすべてが盗まれた。被害に遭ったのはTargetの店舗でショッピングをした顧客に限られる。
Targetの反応は非常に遅かった。12月12日にBrian Krebsが漏洩の噂を最初に報じ、Krebsは「顧客のトラックデータのすべてが漏洩したらしい」と書いている。トラックデータというのはクレジットカードの裏面の磁気ストライプに記録されている情報だ。
Targetの広報担当、Katie Boylanは「当社はできるかぎりの資源を対策に注いでおり、捜査当局およびトップクラスの情報犯罪対策企業と共同で事態の解明に取り組んでいる。[そのため] 現在これ以上のコメントはできない」と述べた。
ハッキング被害そのものは珍しいものではないが、これほどの規模の信用情報流出となると非常に稀だ。2009年に支払サービスのプロバイダーが1億3000万人分のカード番号を流出させたことがあった。しかし想定される実害の程度を考えると今回のTargetの事件はは間違いなく史上最大級の漏洩だ。
磁気ストライプの全記録データの盗難が最悪なのは、これによって本物とまったく同一の偽造カードが作成できるからだ。カード番号、名義、有効期限、セキュリティー・コードがあればオンラインで不正注文がいくらでもできるのは言うまでもない。「クリスマスを控えたこの時期、最悪のタイミングで漏洩が起きた」とSophosのセキュリティー調査部門の責任者、James Lyneは語った。
Targetは顧客に対して、頻繁に利用状況をチェックするなどカードの不正使用に対して警戒するよう呼びかけている。
[原文へ]
(翻訳:滑川海彦 Facebook Google+)