史上最悪のカード情報漏洩事件　いまだに錯綜する情報と対応

Visa、MasterCard、American Expressなど米大手クレジットカード所有者の個人情報が、最大で約4000万件漏洩していた可能性が6月17日、明らかになった。現在調査中であるため、FBIなども事件の詳細は発表していない。メディアが報道する情報も錯綜しているが、概要についてみてみたい。

事件はMasterCardインターナショナルが明らかにしたもので、漏洩元は、アリゾナ州に本社をおくCardSystems Solutions。カード会社から委託されて、カードが使われた飲食店や小売店などからの情報を金融機関に転送している企業だ。続いてVisa USAやAmerican Expressも「情報が危険にさらされた」と漏洩があったことを確認した。

被害にあったとされるカード会社の内訳だが、

・MasterCardは1390万件
・American　Express：少数が影響を受けたとするが正確に何件かとは明らかにしていない。但し、カードシステムズはAmexの米国内取引の0.5％を扱うという。
・Discover Financial：基本的にノーコメント

CardSystems Solutionsのジョン・ペリー最高経営責任者(CEO)は、New York Timesに対し、同社がハッキングにより4000万件のクレジットカード所有者が不正行為の被害を受ける可能性があるものの、実際に盗まれたのは4000万件中、20万件だと語っている。

『ロサンゼルス・タイムズ』で、MasterCardのスポークスパーソンが、不正使用については、そのうち6万8000件分のデータについてリスクが高い、と語っている。この6万8000件という数字だが、一部メディアで、リンダ・ロック副社長の話として、「（実際に）不正使用に利用された」とも報じられている。実際に使用が確認されたのか、そうであれば何人分、そして金額はどうなっているか問い合わせを行っているが、現在のところ返事はない。

消費者の負担についてだが、不正使用に対して連邦法では、クレジットカード所持者は50ドル以上の責任を負うことはないと定めている。その上、MasterCardなどは負担ゼロを謳っている。したがって、消費者が大損害を受けることはないとみられている。

漏れた情報だが、カード番号のみで、住所や社会保険番号は含まれていないようだ。そのため、身元を偽って利用される心配はないと、MasterCardのスポークスパーソン、シャロン・ギャムシンは話している。カード番号以外に、住所や社会保険番号が盗まれると、新しくクレジットカードを作成したり、銀行から他人名義で融資を受けるなどという可能性もある。カード番号だけなら、被害は通常、そのカードの不正使用のみなので、カードを新規発行すれば良い。

●一体どうだったのか、事件の経緯

事件発覚の経緯についても、様々な情報がある。

・『New York Times』によると、今回の事件は、MasterCardが４月中旬に不正使用の異常さに気づいて発覚。同社の不正対策ツールで、漏洩元がCardSystems Solutions だとわかった。

5月中旬にMasterCardとVisaの要請によりCardSystems Solutionsで科学捜査チームによる調査が開始した。22日に、セキュリティスペシャリストが不正なプログラムをCardSystems Solutionsで発見。翌23日、CardSystems SolutionsがFBIに通報した。

・一方、CardSystems Solutionsのプレスリリースでは少し、話が違い、事件に気がついたのは5月22日、翌日23日にFBIに連絡した。同時にVISA、MasterCardにも通知を行っている。同時に全システムのセキュリティ確保のために改善に取り掛かったという。

・日本の朝日新聞などでは、「Visaインターナショナル日本法人によると、昨年９月に同処理会社に不正なウイルスが侵入し、その後のデータ処理情報が200件に１件の割合で外部に転送されていた」と伝えているが、北米で9月説について調べたが不明だ。

【執筆：バンクーバー新報　西川桂子】

──
この記事には続きがあります。
全文はScan Security Management本誌をご覧ください。
http://www.ns-research.jp/cgi-bin/ct/p.cgi?ssm01_ssmd