セキュリティホールからハッカー攻撃頭を悩ます担当者（2）

●企業はセキュリティシステムの再確認が必要

今年になって、企業からの個人情報盗難事件が相次いでいる。ラップトップなどの盗難もあるが、セキュリティホールの問題やハッカーの侵入も多かった。最近あった事件について見てみよう。

・Foster Wheeler
今年初めにハッカーがFoster Wheelerのコンピュータシステムに侵入した事件で、5月7日の『The Morning Call』の報道によると、犯人は従業員の個人情報を不正に取得していた恐れがあるという。これは、4月26日付けで同社CEOが書面にて漏洩に遭った従業員などに通知したものだ。

Foster Wheelerではハッカーの侵入にすぐ気付き、侵入を防ぐ対策を取った。しかし残念ながら、既に社会保険番号や銀行の口座、住所、生年月日、電話番号などの情報が入った文書をダウンロードされた後であった。これらのファイルは暗号化されていたが、ハッカーはコードを解読して侵入したようだと、ミルコビッチCEOは説明している。

事件を受け、同社では従業員に対し、クレジットカードなどの不正作成などがないよう、セキュリティの警告手続きを行うよう勧めている。また、会社からだといって、社会保険番号を尋ねる電話などがあっても、決して答えないようにとの警告も行った。

ただ、発覚したのが3月22日だったにも関わらず、通知が4月26日付け、消印は5月2日であったことに、なぜこれだけ時間がかかったのかと疑問の声も上がっている。漏洩したデータの数についても未発表だ。

Foster WheelerはLNGプラントから石炭火力ボイラーまでを建設する企業で、本社はニュージャージー州。事件を受けて、同社は米国のトップデータセキュリティ企業と契約を結び、調査を行っているという。詳しいことはまだわかっていない。

・靴の小売店からの情報盗難
3月8日、明らかになった事件で、ハッカーがDSW Shoe Warehouseのデータベースから140万件のクレジットカード番号やカードにある氏名を不正に取得したもの。被害を受けたのは主に、昨年11月から今年2月の25週間に、同社の108店舗で購入を行った市民だ。社会保険番号は無事だったという。しかし、9万6000枚の小切手について処理データが盗難されたため、一部、免許証番号や当座預金の口座番号の情報も漏洩している。

事件については現在も調査中だが、クレジットカード会社から、盗難したデータを使い、カードの不正使用があったことが確認されている。DSWはシークレットサービスの捜査に協力するとともに、外部のセキュリティ会社に調査を依頼している。調査結果詳細についてはまだ発表されていない。

【執筆：バンクーバー新報　西川桂子】

──
この記事には続きがあります。
全文はScan Security Management本誌をご覧ください。
http://www.ns-research.jp/cgi-bin/ct/p.cgi?ssm01_ssmd