海外における個人情報流出事件とその対応 第183回 監査でセキュリティお墨付き企業からデータ流出 (1)PCIセキュリティ規準準拠企業も危ない | ScanNetSecurity
2024.04.28(日)

海外における個人情報流出事件とその対応 第183回 監査でセキュリティお墨付き企業からデータ流出 (1)PCIセキュリティ規準準拠企業も危ない

 9月12日、米国アパレル大手Forever21(フォーエバー21)で9万9,000件の情報漏えい事件があったことが明らかになった。10万件近いこの件数は、ハッカーがアクセスしたと見られている、クレジットカードやデビットカードなど支払い用カードの枚数だ。

国際 海外情報
facebookLINE
 9月12日、米国アパレル大手Forever21(フォーエバー21)で9万9,000件の情報漏えい事件があったことが明らかになった。10万件近いこの件数は、ハッカーがアクセスしたと見られている、クレジットカードやデビットカードなど支払い用カードの枚数だ。

 事件は、Forever 21による顧客に対する警告のウェブ・ポスティングとして、PR Newswireが伝えている。内容は、顧客の支払いカード情報を獲得するために、同社システムが不法アクセスを受けた可能性があると、法執行機関から連絡を受けたというものだ。

 ボストンにある司法省の事務所が8月5日にマイアミ在住のAlbert "Segvec"
Gonzalez、ウクライナのMaksym "Maksik" Yastremskiy、エストニアのAleksandr "Jonny Hell" Suvorov、中国のHung-Ming Chiu、Zhi Zhi Wangなどに対して、TJX 、BJ's Wholesale Club、OfficeMax、Boston Marketなど12件の小売店に対してクレジットカード詐欺で起訴している。Forever 21も被害を受けた企業の1社で、状況についてはシークレットサービスから、起訴の朝に連絡を受けた。

 不正にアクセスされたと見られるファイルデータの入ったディスクを獲得。Forever 21では、フォレンジック・コンサルタントに依頼して、直ちに調査を始めた。被害に遭ったのは、比較的古いデータだ。

 調査の結果、顧客が同社を利用した記録も確認することができた。2004年3月25、26日、6月23日、7月2、3日と2004年中は5日間、そして2007年8月4、5、13、14日と2007年の4日間のようだ。さらに、カリフォルニア州フレズノの店舗については、2003年11月26日から2005年10月24日と2年近くの間、攻撃を受けていた。

 件数については、約9万8,930件、うちフラズノ店に関してはそのうち約2万500件という。クレジットカードやデビットカードの番号、一部についてはそのカードの有効期限なども漏れたようだ。ただし、顧客の氏名や住所は無事だった。

 Forever 21は、Equifax, Experian、TransUnionといった、米国の主要信用調査機関にも漏えい事件の被害を連絡。同時にアクセス被害を受けた顧客にも通知を行った。

 ここまでは、比較的よく報告されている情報漏えい事件と変わりない。しかし、今回の事件でショッキングだったのは、4年以上の間、Forever 21が定期的にセキュリティ状況を調査していたのにもかかわらず、侵入を探知していなかったことだろう。

●PCIセキュリティ規準に準拠の企業がなぜ?

2007年以降、クレジットカードの加盟店に対して、PCIデータセキュリティ規準(Payment Card Industry Data Security Standards) が課されている。同社のセキュリティ規準については、データ暗号化規準を含め、全て規定に準拠しているという。さらに事件後、定期的に侵入がないか監視を続けるとともに、セキュリティ規準を強化して、積極的に取り組んでいるという。

 事件を報じた『Search Security』の記事で、セキュリティ・コンサルティングの会社、Securosisの創設者、Rich Mogullは「つい最近までは小売店の多くは、よく攻撃に遭っていた」と、問題はForever 21だけではないことを示唆している。

 漏えいが分かったのが、2006年に明らかになったTJXへ攻撃を行った犯罪グループの逮捕に伴うことから、同事件での手口と同様、ワイヤレス・ネットワークが狙われたようだ。ほかの企業はウォードライビングでネットワークへの侵入を許しているが、Forever 21では「データセンターで、データの不正アクセスを受けた」と説明しており、POSにおいての攻撃を否定している。

 一方、Forever 21がPCIデータセキュリティ規準に準拠していたという判定に疑問を持つ専門家もいる。Eweek.comやPCMagazine、CIO Insightなどでリテールテクノロジーの編集を行っていたEvan Schumanだ。

 Schumanは、事件後、Forever 21が行った声明で「ファイルがほかのデータファイルの中で、不注意により(ハッカーに)奪われた」と…

【執筆:バンクーバー新報 西川桂子】
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec

《ScanNetSecurity》

特集

PageTop

アクセスランキング

  1. 今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

    今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

  2. 雨庵 金沢で利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

    雨庵 金沢で利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

  3. セトレならまちで利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

    セトレならまちで利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

  4. タカラベルモントの海外向けウェブサイトのサーバがフィッシングメール送信の踏み台に

    タカラベルモントの海外向けウェブサイトのサーバがフィッシングメール送信の踏み台に

  5. 重い 高い 検索も使いにくいメールを企業の 6 割が使う理由

    重い 高い 検索も使いにくいメールを企業の 6 割が使う理由

  6. 研究開発の推進責務が撤廃ほか ~「NTT法」改正法律成立を受け NTT がコメント

    研究開発の推進責務が撤廃ほか ~「NTT法」改正法律成立を受け NTT がコメント

  7. RoamWiFi R10 に複数の脆弱性

    RoamWiFi R10 に複数の脆弱性

  8. 2024年第1四半期 IPA 情報セキュリティ安心相談窓口の相談状況、サポート詐欺被害時の漏えい可能性判断ポイントほか

    2024年第1四半期 IPA 情報セキュリティ安心相談窓口の相談状況、サポート詐欺被害時の漏えい可能性判断ポイントほか

  9. スペシャリスト集結! マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは? AeyeScan 導入企業との公開対談

    スペシャリスト集結! マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは? AeyeScan 導入企業との公開対談PR

  10. 脆弱性診断自動化ツール「AeyeScan」を基盤に「診断マネジメントプラットフォーム」を提供

    脆弱性診断自動化ツール「AeyeScan」を基盤に「診断マネジメントプラットフォーム」を提供

ランキングをもっと見る
ホーム 国際 海外情報 記事
TOP