海外における個人情報流出事件とその対応　第230回 Heartlandは漏えいに無関係の姿勢　（1）史上最悪の事件を起こした企業から再び漏えいか？

●史上最悪の事件を起こした企業から再び漏えいか？

米国テキサス州にあるTino’s Greek Cafeの利用者が、情報漏えいの被害に遭っていると、去る8月、オースティンのテレビ局、News8などが伝えた。多数の同レストラン利用者が、全米各地で利用した覚えのないクレジットカード請求を受けたという。事態は数カ月に及んでいて、米シークレットサービスも捜査を行っている。

Tino’s Greek Cafeはギリシャ料理レストランのチェーン店で、オースティン市内に4カ所の店舗を持つ。5月にレストランを利用したRachel Durkin-Drgaさんは、1000ドルもの不正使用の被害を受けた。News8は、予備捜査で、何者かが、Tino’s Greek CafeのPOSと、Heartland Payment Systems間をつなぐネットワークにハッキングしたのが分かったと報じている。Tino’s Greek Cafeが漏えいに気付いたのは8月8日だ。

事件発覚直後は、テキサスのテレビ局が、オースティン警察からの情報として、非難されるべきなのは、Tino’s Greek Cafeではなく、Heartland だとの報道を行っていた。8月13日付けNews 8ではオースティン警察のコメントを紹介している。Matthew Greer巡査部長は、「警察とクレジットカード会社の捜査により、攻撃はレストランではなく、決済処理会社において起こった」と、Tino’s Greek Cafeの支払いが処理されていたHeartland へのハッキングが原因であるとの考えを述べたという。

Heartland は、ニュージャージー州に本社を持つ決済処理会社で、中小サイズの小売店や飲食店を中心にサービスを提供している。同社ウェブサイトには、一日当たりの処理件数は1100万件、年間では800億件とある。

情報流失によるクレジットカードの不正使用は増加している。Tino’s Greek Cafeの事件も、本来なら、他の事件の陰に隠れて、あまり大きな話題にはならなかっただろう。しかし、Heartland は、史上最大規模の情報漏えい事件を起こしたとして、2009年1月に、メディアやセキュリティ業界を騒がせた。その際は、Heartlandの処理システムにキーロガーが見つかった。流出したデータ件数は明確にされなかったものの、一日当たりの処理件数から計算して、マルウェアが仕掛けられているのが分かるまでの間に相当数のデータが漏えいしたとみられた。

●Heartlandは漏えいに無関係の姿勢

その後の報道では、テレビ局が巡査部長のコメントを引用した際、間違いがあった可能性があるとの話もある。HeartlandのCIO（最高情報責任者）、Steven Elefantは、POSか、他の不正の結果として店舗内で侵入があったとして、「Heartland 全体や加盟店は、この種の攻撃でセキュリティ侵害を受けていない」と述べている。

そして、「最近のオースティン地域の加盟店でのデータ盗難は、限定的な侵入」であったとして、加盟店、すなわちレストランの店舗内で起こったとの声明を発表。広い範囲での問題ではないと、News 8が発表した警察のコメントに異論を唱えていた。

事件後出された、Heartlandのマーケティング担当者、Nancy Grossと、広報の会社Vault CommunicationsのErin Mulhollandの両名による13日付け声明でも、侵入はこの加盟店、すなわちTino’s Greek Cafeだけのもので、Heartlandの処理ネットワークに至るまでの間で起きているとしている。そして、

※本記事は有料購読会員に全文を配信しました

(バンクーバー新報　西川桂子)