暗号化にも拘わらず盗難されたデータ (2)データ暗号化の落とし穴

●やっと明らかになった事件経緯

ハッカーが不正に取得したデータをどのようにして、フロリダの犯罪グループが入手したのかは、まだ発表されていない。事件の全容が、明らかにされることはあったとしても、まだまだ先だろう。事件に関連しての検挙、逮捕は、今のところフロリダの事件のみのようだが、2月の時点でも捜査中として発表されていなかった事件の経緯について、3月28日付けでやっとTJXが詳しく説明している。

2006年12月18日
コンピュータシステム上で、怪しいソフトウェアを発見。直ちに調査を開始。翌日には、コンピュータセキュリティおよび事件対応サービスを行う外部の会社に詳しい調査を依頼した。

2006年12月21日
調査により、ハッカーがシステムに侵入、情報にアクセスしているようだと考えられるとして、その後も継続して行われている侵入について監視を開始。

2006年12月22日
通報。財務省検察局はTJXに対して、捜査の妨げになる可能性があるとして、当面の事件の発表は行わないようにとアドバイス。

2006年12月26、27日
捜査機関の助けにより、ハッカーがアクセスしたと見られるクレジットカードやデビットカードに関連する金融機関に、データが盗まれた可能性があることについて通知。

2006年12月27日
単なる可能性ではなく、顧客情報が実際に盗まれていたことを確認。

捜査を続けながら、米国の財務省検察局、連邦検察などだけではなく、連邦取引委員会、証券取引委員会、さらに米国外でもカナダの連邦警察(RCMP)、カナダの連邦プライバシー・コミッショナーや英国のインフォメーション・コミッショナー、ロンドン警視庁などにも事件を通報。

2007年1月17日
ハッカーの侵入についてプレスリリースで発表。被害者へのアドバイス、事件後、TJXが取った措置、判明していた事件による被害の範囲など、4ページから成るかなり詳しい内容だった。

2007年2月18日
当初、考えられていたより前にも、別のシステムに犯人たちが侵入していたことを確認。こちらは2005年に行われていたもので、2月21日にその内容を一般に発表した。

これらは3月28日付けの発表で詳しく報告されたものだ。被害を受けたのは…

【執筆：バンクーバー新報　西川桂子】

──
この記事には続きがあります。
全文はScan Security Management本誌をご覧ください。

◎有料版Scan申込＞ http://www.ns-research.jp/cgi-bin/ct/p.cgi?m02_ssm