海外における個人情報流出事件とその対応 第190回 情報盗難犯に狙われる決済処理会社 (2)PCI DSS準拠下でも起きる漏えい事件
●1カ月前にも決済会社からの漏えい
国際
海外情報
今回のハートランドの事件が明らかになったのは1月20日だが、その約1カ月前の12月23日に、同様に決済会社の情報漏えいが明らかになった。被害を受けたのはRBSワールドペイ(RBS WorldPay)で、昨年11月にシステムをハッキングされ、150万件のカード所有者が影響を受けている可能性があるという。
RBSワールドペイは、英国スコットランド・エジンバラに本社を持つ、ロイヤルバンク・オブ・スコットランド(Royal Bank of Scotland)グループの1社だ。同社Webサイトによると、世界第5位の金融グループで、本社は米国アトランタ州。Visa、MasterCard、Diners、American Express、JCB などのクレジットカード、デビットカードや世界各国固有のシステムによる、顧客からの電話、インターネットなどでの支払いを取り扱う。
RBSワールドペイのプレスリリースによると、同社のシステムが不正アクセスを受けていたということだ。事件が発表されたのは12月23日だが、発覚したのは11月10日で、プリペイドカードの所有者などが被害を受けている。そのうち中心となったのは、どの小売店でも使用できるオープンループ型のギフトカードや、給与支払い用カードだった。給与支払い用カードは、今なお小切手での給与支払いが比較的一般的な北米で、小切手の代わりに使用されることがあり、従業員はATMで現金引き出しを行ったり、物品サービスの購入にも利用できる。
給与支払い用カードに関する個人情報が、不正にアクセスされていたようだ。RBSワールドペイは、カードのPIN番号をリセットして、情報漏えいの被害者に事件の通知を行ったほか、被害者向けのWebサイトも用意した。
事件が発表された23日の時点で確認されている不正使用は、約100枚のカードについてだ。また、150万人のカード所有者の個人情報がアクセスされたと見られており、中には110万人の社会保険番号も含まれている。
RBSワールドペイでは社会保険番号にアクセスされたと見られる個人に対して、1年間の信用モニターサービスを無料でオファーしている。同時にEquifax、TransUnion、Experian米国の三大信用報告機関に報告して、不審な動きがあれば、すぐに確認できるようにした。
しかし、信用モニターサービスは希望者に対するものであるため、利用しないカード保有者も少なくないと予測されている。情報漏えい事件が起こると、残念ながら事件を悪用した詐欺も発生する。今回の事件について書かれた記事、ブログへのコメントの中には、事件の通知を受け取り、そこに書かれた番号に連絡をすると、社会保険番号を聞かれたという消費者も登場している。
すでに消費者が購入している同社発行のギフトカードについては、通常、引き続き使用は可能だ。ただし、未使用のものは、念のため店頭などで回収もしくは廃棄処分にした。
同時に、事件の結果、起こったカード不正使用については、カード所有者には金銭上の責任を負わないことを、プレスリリースなどで確認して、安心するよう呼びかけた。そしてカードに不正な動きがあるようなら、カードの裏面に表示されている番号に連絡するよう求めている。
RBSワールドペイの事件の場合は、例えばハートランドのようにキーロガーによる攻撃を受けて、情報が漏えいしたのかなど、ハッカーがどのようにして攻撃を行ったのかは明らかになっていない。しかし、複数の大手コンピュータセキュリティ会社と協力して、システムのセーフガードに努めているという。
RBSワールドペイについては、事件発覚の数日後から一部弁護士事務所が集団訴訟の可能性を探っている。情報漏えい事件は企業のイメージを低下させるが、訴訟となるとさらに損失を受けると考えられる。
●決済会社は攻撃側にとって魅力
ハッカーにとって、決済会社は魅力的なターゲットだと考えるセキュリティ専門家もいる。小売店を攻撃した場合、カード会社の探知も比較的迅速に探知できるが、決済会社の場合、被害者の共通項確認が比較的困難であるためだ。情報漏えいの事実が明らかになると、カードの悪用はできなくなる。ハッカー側にすれば、できるだけ長い間、不正使用ができるほど実入りが良いということになる。
決済会社だけではなく、大規模な情報漏えい事件では、企業の決済システムにマルウェアが仕掛けられていることが多い。今後も組織はこれらのシステムの防御に努めていく必要がありそうだ。
一方、カード会社も利用者保護に力を入れている。ハートランド・ペイメント・システムズの事件を受けて、MasterCardのクリス・モンテイロは、「MasterCardでは状況の進展を監視しており、リスクがあると考えられるカード発行会社に連絡を行った」と説明する。通知をすることで、各社でアカウントをさらに監視して、必要な場合はカードの再発行などの措置をとることができる。
その上で、「カード所有者はそれぞれのアカウントに関して、懸念があるようなら、金融機関に連絡する」ことを呼びかけている。不正防止および財務情報を保護することは、MasterCardの最優先課題だというものだ。
●セキュリティのお墨付きでも起こった漏えい事件
ハートランドの事件はPayment Card Industry Data Security Standard(PCI DSS)に準拠していたというだけに、一部関係者はショックを受けている。PCI DSSは…
【執筆:バンクーバー新報 西川桂子】
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec
《ScanNetSecurity》
特集
アクセスランキング
-
ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ
-
護衛艦いなづまの艦長、資格のない隊員を特定秘密取扱職員に指名し懲戒処分
-
「意識を高揚させよう」と思い特定秘密の情報を知るべき立場にない隊員に特定秘密の情報を漏らす、懲戒処分に
-
モリサワ他と損害賠償金4,500万円支払で調停成立~フォント不正コピーの印刷会社
-
メディキットホームページに不正アクセス、閲覧障害に
-
信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖
-
クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存
-
日本は悪意ある内部犯行による漏えいが 12 ヶ国中最小、プルーフポイント「Data Loss Landscape 2024(情報漏えいの全容)」日本語版
-
セガ フェイブが利用するメールシステムに不正アクセス、フェニックスリゾートが保有する個人情報が流出した可能性
-
「ジャンクガン」下流サイバー犯罪者が見るランサムウェアギャングの夢