セキュリティの落とし穴、Wi-Fiネットワーク (2)個人情報の盗難により相次ぐ不正引き出し

●米国版100円ショップもワイヤレスが被害

ウォー・ドライビングにより情報が盗難された事件については、以前にも報道されている。その1つが2006年8月のDollar Treeからの情報漏洩事件だ。

これはDollar Treeを利用した市民が、ATMから不正に資金を引き出される被害にあったと言うものだ。カリフォルニア州のモデスト市で、600件以上の口座が被害を受け、約50万ドルが不正に引き出された。地元紙『Modesto Bee』は、不正引き出しについての報告は6月12日に始まったとしている。

さらに、8月1日には同じくカリフォルニア州アシュランド市の警察が、少なく見積もっても200人が被害を受けたことを確認。こちらでは、不正に引き出された金額は合計で20万ドルだった。

テレビ局KCRAは、Dollar Treeで買い物をした女性が、その後、何者かに700ドルの資金を口座から引き出される被害に遭ったことも伝えている。犯人は女性のATMの口座番号とパスワードを何らかの方法で入手していた。女性が利用していて、口座からの不正引き出しがあったGolden 1 Credit Unionでは、女性以外にも30人ほどの顧客から同様の報告を受けていると言う。

同様の事件は2006年5月〜6月の間、オレゴン州のDollar Treeでも起こっている。これらの事件では、犯人はPOSと金融機関の間のやりとりを、ラップトップ・コンピュータで傍受していたとみられている。盗んだデータで新たにATMカードを作成して、まんまと現金を奪った。

Dollar Treeは全米48州、3156ヵ所で、米国版100円ショップを運営するチェーン店だ。取り扱い商品はほぼ全て1ドルの価格で、市民の間で人気があり、各店舗はフランチャイズになっている。この事件は、各フランチャイズ店の経営者がネットワークのセキュリティをしっかり確保するだけの資金を持たないことも、原因の1つだとみられている。

コネチカット州にあるデータセキュリティの会社、Protegrity Data Securityのデヴィッド・テイラーは、『eWEEK』に対して、店舗がサーバーとつなぐためのパスワードを長期間変えていないことも、侵入を許す原因だと語っている。さらに犯罪者は、大規模フランチャイズ店の各店舗のセキュリティが弱く、本社サーバーへのアクセスをクラッキングすることで、個人情報を盗むことができると知っていると、組織に対して警告する。クラッキングは比較的簡単だと言う…

【執筆：バンクーバー新報　西川桂子】

──
この記事には続きがあります。
全文はScan Security Management本誌をご覧ください。

◎有料版Scan申込＞ http://www.ns-research.jp/cgi-bin/ct/p.cgi?m02_ssm