海外における個人情報流出事件とその対応 第182回 世界中で犯罪者が狙うPIN番号 (2)急がれるセキュリティ基準の整備 | ScanNetSecurity
2024.04.28(日)

海外における個人情報流出事件とその対応 第182回 世界中で犯罪者が狙うPIN番号 (2)急がれるセキュリティ基準の整備

●米国では7-Eleven設置のATMが被害

国際 海外情報
facebookLINE
●米国では7-Eleven設置のATMが被害

 7月には米国サンノゼの7-ElevenのCitibankのATMが攻撃され、不正な出金があった。正確な被害額は公表されていないが、数十万ドルにのぼったとみられている。

 攻撃が行われていたのは2007年10月から今年3月までだが、もっと長期にわたっていた可能性もあるようだ。7-Elevenに設置されたCitibankのATMは米国全体で約5,700台ある。

 米国の事件では、ハッカーはターミナルではなく、ATMシステムのインフラをターゲットにしている。以前のATMはOS/2を用いたものがほとんどだったが、近年、Microsoft社のWindowsタイプが増えている。2004年12月以降、OS/2のサポートがなくなったことやWindowsベースのシステムは、リモートでの診断やリペアを行うことができるし、XP Embeddedになるとアップグレードも簡単にすることができる。

 ただし、Windowsはワームやウイルスなどのマルウェアに感染する可能性が高い。さらに、業界基準で暗号化が決められているものの、実施されていないことも多いため、ユーザが出金などのため入力したPINが、金融機関のシステムに送られる際に、その情報をハッキングに成功する犯罪者がいる。

 サンノゼの事件後、APに対して、ガートナーのアナリスト、アビバ・リタンも「PIN番号は神聖なものでなければならない」とした上で、「銀行はもっと優れた不正探知システムおよび認証が必要だ」とコメントしている。このような事件が起こるということは、暗号化が適切に行われていないということになる。

 3月にはニューヨークに住む男性3人組が、やはり7-Elevenに設置されたATMから70万ドルを超える出金を行ったとして起訴されるなど、さまざまな事件が明らかになっている。しかし、報じられていないターミナルやATMへの攻撃も多数あるという。特にここ数年、ATMのバックエンドからの攻撃が急増していると、セキュリティ専門家も警告を行っている。

●UAEでも不正引き出し

 PIN番号盗難は世界中に広がっていることを証明するように、今度はアラブ首長国連合(UAE)での事件が報道された。ハッカーがアラブ首長国連合の金融機関を狙ったATM不正を行っていると、9月12日付け『Times』が伝えている。犯人らは偽の銀行カードやクレジットカードを用いて、顧客の口座から現金を引き出した。

 金融機関は被害総額や、攻撃を受けた口座数など詳細は明らかにしていない。しかし、当初の捜査ではATMがデバイスで不正操作されていて、利用者がPIN番号を入力するとその情報を獲得するようになっていたと考えられている。

 事件が明らかになった後、ターゲットとなった金融機関の一つで支店長を務めるスヴォ・サカールは、「本当にどのようにして起こったのかはわからない」と語っている。全容はまだ明らかになっていないが、問題は広範囲に広がっている可能性もあるという。被害を受けたのはHSBC、Citibank、Lloyds、TSB、ナショナル・バンク・オブ・アブダビ、エミレーツNBD、ドバイ銀行など、ほぼ全ての国内大手金融機関だ。

 いまだに犯人逮捕にいたっておらず、ヒントになるようなものも分かっていないようだが、サカールは、「国際的なネットワークの一部のようだ」と話している。これは、不正使用はアラブ首長国連邦国外20カ国以上でも行われているためだ。

 金融機関側ではテキストメッセージなどで、顧客に対して、PIN番号の変更を呼びかけ、損失を食い止めようと必死だ。中にはPIN番号を変えなかった顧客の口座をブロックした銀行もある。ドバイ銀行では、不正な出金は海外で行われたケースが多かったために、海外からのATMへのアクセスを差し止めた。攻撃を受けた口座は42件だった。

 さまざまな金融機関が対応を急ぐ中で、一部では大きな混乱を起こしているようだ。一方で、事態は管理下にある、など顧客に対して安心を呼びかけている。不正な引き出しを受けた顧客は、被害金額を金融機関で負担し、口座へ払い戻すと発表している銀行もある。

 しかし、状況に苛立つ顧客も多く、中には口座を解約してしまう利用者もいるようだ。ドバイ銀行のように海外からの口座へのアクセスを差し止めると、出張や休暇に国外に出かけた顧客が、出金できなくなり困るという事態が起こる可能性もある。他にも一部のカードはキャンセル、再発行となっている。カードを紛失するなど自己責任の場合は、少々の不便も仕方がない。しかし、何者かが情報を盗み出したという自分とは関係ない原因で、顧客は再発行されたカードを受領するまで待つ必要があった。

 金融機関側は、事態は管理下にあると説明している。ただし、Visaのデビットカードを持つ市民の1人は、発行元であるCitibankに、通知なしにカードがキャンセルされていたと怒りを隠さない…

【執筆:バンクーバー新報 西川桂子】
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec

《ScanNetSecurity》

PageTop

アクセスランキング

  1. 今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

    今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

  2. 雨庵 金沢で利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

    雨庵 金沢で利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

  3. セトレならまちで利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

    セトレならまちで利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

  4. タカラベルモントの海外向けウェブサイトのサーバがフィッシングメール送信の踏み台に

    タカラベルモントの海外向けウェブサイトのサーバがフィッシングメール送信の踏み台に

  5. 重い 高い 検索も使いにくいメールを企業の 6 割が使う理由

    重い 高い 検索も使いにくいメールを企業の 6 割が使う理由

  6. 研究開発の推進責務が撤廃ほか ~「NTT法」改正法律成立を受け NTT がコメント

    研究開発の推進責務が撤廃ほか ~「NTT法」改正法律成立を受け NTT がコメント

  7. スペシャリスト集結! マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは? AeyeScan 導入企業との公開対談

    スペシャリスト集結! マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは? AeyeScan 導入企業との公開対談PR

  8. RoamWiFi R10 に複数の脆弱性

    RoamWiFi R10 に複数の脆弱性

  9. 2024年第1四半期 IPA 情報セキュリティ安心相談窓口の相談状況、サポート詐欺被害時の漏えい可能性判断ポイントほか

    2024年第1四半期 IPA 情報セキュリティ安心相談窓口の相談状況、サポート詐欺被害時の漏えい可能性判断ポイントほか

  10. 脆弱性診断自動化ツール「AeyeScan」を基盤に「診断マネジメントプラットフォーム」を提供

    脆弱性診断自動化ツール「AeyeScan」を基盤に「診断マネジメントプラットフォーム」を提供

ランキングをもっと見る
ホーム 国際 海外情報 記事
TOP