Targetはクレジットカード情報の盗難の危険性を事前に知っていて, 何も対策しなかった

Bloomberg Businessweekに載った苛烈な記事によると、リテイラーのTargetは、同社のセキュリティシステムに危険が生じたことを知らされてから二週間も、その事態を放置した。〔関連記事(1)(2)。〕

実は昨年から、Targetはセキュリティ企業FireEyeを利用して、サーバ上のマルウェアを監視させていた。バンガロールにレスポンスチーム(事故対応チーム)を置くFireEyeが、ミネアポリスのTarget本社に、同社がハックされたことを告げたのは11月30日だった。そしてそれに関して、誰も何もしなかった。

つまり、Bloomberg誌によると、“何らかの理由でミネアポリスは、警報に反応しなかった”。

その記事はやけに詳しくて、読み物としてもおもしろいが、TargetのセキュリティシステムだけでなくFireEyeの“ハニーポット”サーバについても説明している。それは犯人たちを、本物のサーバに侵入したと思わせる囮(おとり)のサーバで、FireEyeはそれを監視している。しかし、そのあとの話がこわい。

”その侵犯は人間が介入しなくても阻止できた。システムには、マルウェアを検出したら自動的に削除するオプションがあった。しかしその侵入事件のあとでFireEyeのパフォーマンスを監査した二人の人物によると、Targetのセキュリティチームはその機能を無効にしていた。同じくFireEyeを1年あまり使っていた航空機メーカーBombardier Aerospace社の主席セキュリティ担当役員Edward Kiledjianは、それは異例なことではない、と言う。“セキュリティチームというものの習性として、対策の最終決定を自動機械(ソフトウェア)にやらせず、自分でやりたいんだよ”、と彼は言う。しかし、と彼は警告する、“ソフトの自動化機能をoffにしておくと、感染しているコンピュータを早急に見つけて無害化することが、チームの責任になってしまうのだ”。

結局のところ、最後に残ったものは、Target側の怠慢と、FireEye側の明快な名誉回復努力だ。Targetがそのマルウェアを削除する気にならなかったのだから、FireEyeに落ち度はない、と記事は結論している。責任のなすり合いには発展しなかったものの、明らかに、先週辞めたTargetのCIO Beth Jacobが、すべての批難の矢面(やおもて)に立つことになる。

教訓は、良かれと思った計画も往々にして裏目に出る、ということ。Bloomberg Businessweekの元記事はここにある

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))