SCAN DISPATCH ：キーロガーにより1億人の個人データが漏えい、米国新記録か！？

　SCAN DISPATCH は、アメリカのセキュリティ業界及ハッカーコミュニティから届いたニュースを、狭く絞り込み、深く掘り下げて掲載します。

──

　米国で6位の規模のカードプロセッシング企業であるHeartland Payment Systemsが今月20日、2008年の下四半期に何者かがシステムにマルウエアを侵入させ、個人情報を盗んでいたことを発見したと報告した。同社のスポークパーソンは、今回侵入したマルウエアがキーロガーであることを認めている。

　Heartland Payment Systemsは、約25万のレストランや小売業でのクレジットカードのプロセッシングを行っている。同社が問題に気がついたのは、Visaや MasterCardから、Heartland Payment Systems経由でのクレジットカードの取引に怪しい活動が見つかった、と通告を受けてからだ。そこでHeartland Payment Systemsは、社外からフォレンジックの専門家の派遣を受けて調査を開始。今年1月に入ってから、プロセスシステムにマルウエアが存在し、それによりデータが改ざんされていたことを発見した。

　実際の事件の規模について、同社は「わからない」と答えているが、何者かが「数週間以上」、同社のシステムにアクセスしていたことは分かっているらしい。Heartland Payment Systemsは、一ヶ月に1億件以上の数の取引を行っていることから、被害者の規模は1億人以上、という推定が行われている。

　この推定規模を同社では否定しているが、問題は同社が被害の規模を掴んでいないことであろう。internetnews.comでは、Sophos社のセキュリティ・アナリストに意見を聞いている。アナリストの意見では、Heartland Payment Systemsがきちんとした監査システムを導入しているならば、被害を受けたユーザーの数は既に分かっているはずであり、個人情報を大量に扱う大企業としては「こうした監査は全て社内のセキュリティ部で処理できるはずで、外部から専門家の派遣を受ける必要があること自体がおかしい」と述べている。

　Heartland Payment Systemsはそのプレスリリースで、「ネットワークを経由するデータに異常が発見された場合にそれをリアルタイムで通報するシステムの導入を決定した」とも言っており、そうしたシステムが今まで同社では導入されていなかったことを認める形になっている。

　昨年12月には、電信支払い取引を行うRBS WorldPayのシステムに何者かが潜入し、顧客のクレジットカード情報を盗難した、と発表されたばかり。Heartland Payment Systemsでは、被害は世界的なサイバー詐欺オペレーションの結果であり、シークレットサービスと協力しながら対処している、と発表している。

　さて、Heartland Payment Systemsが、昨年起こった漏えい事件を発表することに決めた日は、なんと大統領就任式の当日…

【執筆：米国　笠原利香】

【関連リンク】
史上最悪のカード情報漏えい事件　いまだに錯綜する情報と対応
https://www.netsecurity.ne.jp/7_3471.html
ディスカウントストア・チェーンから情報漏えい(1)カード情報など顧客データを狙っての犯行か
https://www.netsecurity.ne.jp/7_8578.html
ディスカウントストア・チェーンから情報漏えい(2)事件は業界に対する警鐘となるか
https://www.netsecurity.ne.jp/7_8620.html
SCAN DISPATCH ： 20億件目前？個人情報漏えい先進国アメリカのセキュリティ事情
https://www.netsecurity.ne.jp/2_9628.html
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?w02_ssw