注意が必要な顧客側でのセキュリティ体制(1)顧客からも情報は漏れる

今年は米国で大規模な情報漏洩事件が続いている。2月のBank of Americaは120万件、靴の小売チェーンDSWで130万件、そして6月にはクレジットカード処理会社CardSystemsが4000万件の個人情報漏洩事件を起こし、市民のe-commerceへの信頼が揺らいでも不思議ではない事態だ。企業や政府などでもセキュリティ確保に努めているが、個人情報盗難事件は1社のみの努力でも避けきれるものではない。全体的な取り組みが必要だ。

今回は社内セキュリティシステムに力を入れていたものの、顧客サイドのセキュリティの問題が発端で情報漏洩を起こしたレクシス・ネクシス(LexisNexis)の事件をみてみたい。

●買収した会社で、買収以前にあった漏洩

広範囲なデータベースを有し、情報サービスを行うレクシス・ネクシスは2004年8月にSeisintを買収。しかし、その後、Seisintの顧客になりすました犯行グループが、Seisintのデータを不正にダウンロードしていたことがわかった。発表されたのは3月のことだ。フロリダ州に本社を有していたSeisintは、判例やビジネスデータを扱う企業だった。

事件発覚の2ヵ月後の5月に、3人の青年が財務省検察局などの捜査を受けている。ハッカーたちはポルノ写真のイメージを添付してe-mailを大量に送付していたようだ。その中で、フロリダ州とテキサス州の警察でスタッフがe-mailを開き、知らないうちにキーロガーをインストールされた。

警察では人物チェックの目的で、Seisintのデータベースを定期的に利用、アカウントを所有していた。そして、フロリダ警察のスタッフがスパイウェアを仕掛けられたコンピュータからSeisintのデータベースにアクセスしたところ、データベースにアクセスするためのユーザー名、アカウント番号、パスワードなどを盗まれてしまったらしい。

犯行グループは、最初からSeisintを狙っていたわけではない。トロイの木馬を仕掛けたメールを送付することで、コンピュータを乗っ取って遊んでいた。たまたま、データベースのアクセス情報を獲得できたことで、マット・デイモンやアーノルド・シュワルツェネガーなどの著名人の社会保険番号その他、個人情報を不正に得ていた。

レクシス・ネクシス側では、この警察署のうちのひとつ（フロリダ、テキサスのどちらかは明らかにしていない）が、請求書をチェックしていて、異常に気付き、連絡があったことについても話している。「請求書の明細を見ないで機械的に支払う組織がどんなに多いか。今回はたまたま、きちんと明細を調べていた組織から漏洩したことで、比較的早く事件が発覚した」とマックラーリン主席テクノロジー責任者(CTO)がいうとおり、不幸中の幸いだったといえよう。

【執筆：バンクーバー新報　西川桂子】

──
この記事には続きがあります。
全文はScan Security Management本誌をご覧ください。
https://www.netsecurity.ne.jp/14_3697.html