史上最悪のカード情報漏洩事件 いまだに錯綜する情報と対応 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.11.21(火)

史上最悪のカード情報漏洩事件 いまだに錯綜する情報と対応

特集 特集

Visa、MasterCard、American Expressなど米大手クレジットカード所有者の個人情報が、最大で約4000万件漏洩していた可能性が6月17日、明らかになった。現在調査中であるため、FBIなども事件の詳細は発表していない。メディアが報道する情報も錯綜しているが、概要についてみてみたい。

事件はMasterCardインターナショナルが明らかにしたもので、漏洩元は、アリゾナ州に本社をおくCardSystems Solutions。カード会社から委託されて、カードが使われた飲食店や小売店などからの情報を金融機関に転送している企業だ。続いてVisa USAやAmerican Expressも「情報が危険にさらされた」と漏洩があったことを確認した。

被害にあったとされるカード会社の内訳だが、

・MasterCardは1390万件
・American Express:少数が影響を受けたとするが正確に何件かとは明らかにしていない。但し、カードシステムズはAmexの米国内取引の0.5%を扱うという。
・Discover Financial:基本的にノーコメント

CardSystems Solutionsのジョン・ペリー最高経営責任者(CEO)は、New York Timesに対し、同社がハッキングにより4000万件のクレジットカード所有者が不正行為の被害を受ける可能性があるものの、実際に盗まれたのは4000万件中、20万件だと語っている。

『ロサンゼルス・タイムズ』で、MasterCardのスポークスパーソンが、不正使用については、そのうち6万8000件分のデータについてリスクが高い、と語っている。この6万8000件という数字だが、一部メディアで、リンダ・ロック副社長の話として、「(実際に)不正使用に利用された」とも報じられている。実際に使用が確認されたのか、そうであれば何人分、そして金額はどうなっているか問い合わせを行っているが、現在のところ返事はない。

消費者の負担についてだが、不正使用に対して連邦法では、クレジットカード所持者は50ドル以上の責任を負うことはないと定めている。その上、MasterCardなどは負担ゼロを謳っている。したがって、消費者が大損害を受けることはないとみられている。

漏れた情報だが、カード番号のみで、住所や社会保険番号は含まれていないようだ。そのため、身元を偽って利用される心配はないと、MasterCardのスポークスパーソン、シャロン・ギャムシンは話している。カード番号以外に、住所や社会保険番号が盗まれると、新しくクレジットカードを作成したり、銀行から他人名義で融資を受けるなどという可能性もある。カード番号だけなら、被害は通常、そのカードの不正使用のみなので、カードを新規発行すれば良い。

●一体どうだったのか、事件の経緯

事件発覚の経緯についても、様々な情報がある。

・『New York Times』によると、今回の事件は、MasterCardが4月中旬に不正使用の異常さに気づいて発覚。同社の不正対策ツールで、漏洩元がCardSystems Solutions だとわかった。

5月中旬にMasterCardとVisaの要請によりCardSystems Solutionsで科学捜査チームによる調査が開始した。22日に、セキュリティスペシャリストが不正なプログラムをCardSystems Solutionsで発見。翌23日、CardSystems SolutionsがFBIに通報した。

・一方、CardSystems Solutionsのプレスリリースでは少し、話が違い、事件に気がついたのは5月22日、翌日23日にFBIに連絡した。同時にVISA、MasterCardにも通知を行っている。同時に全システムのセキュリティ確保のために改善に取り掛かったという。

・日本の朝日新聞などでは、「Visaインターナショナル日本法人によると、昨年9月に同処理会社に不正なウイルスが侵入し、その後のデータ処理情報が200件に1件の割合で外部に転送されていた」と伝えているが、北米で9月説について調べたが不明だ。

【執筆:バンクーバー新報 西川桂子】

──
この記事には続きがあります。
全文はScan Security Management本誌をご覧ください。
http://www.ns-research.jp/cgi-bin/ct/p.cgi?ssm01_ssmd
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  2. ここが変だよ日本のセキュリティ 第30回「ダメンズ・オーディット! 上場企業なら避けて通れない監査対応に監査感激!」

    ここが変だよ日本のセキュリティ 第30回「ダメンズ・オーディット! 上場企業なら避けて通れない監査対応に監査感激!」

  3. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

    クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  4. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第8回 「はした金」

  5. [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

  6. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第7回 「三人の容疑者」

  7. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第9回「勤怠簿」

  8. マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

  9. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第1回 「プロローグ:身代金再び」

  10. 工藤伸治のセキュリティ事件簿 シーズン6 「誤算」 第1回「プロローグ:七月十日 夕方 犯人」

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×