大規模情報漏洩、進化する手口 傾向に変化が見られた2005年 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2018.09.26(水)

大規模情報漏洩、進化する手口 傾向に変化が見られた2005年

2004年、米国の連邦取引委員会への消費者からの苦情で最多を占めたのは、個人情報盗難についてだ。2005年もこの傾向は変わらないようで、大規模な個人情報漏洩事件が相次いだ。ファーミングのような比較的新しい情報盗難の報告やスパイウェアの悪用が増えた。スパムメー

特集 特集
2004年、米国の連邦取引委員会への消費者からの苦情で最多を占めたのは、個人情報盗難についてだ。2005年もこの傾向は変わらないようで、大規模な個人情報漏洩事件が相次いだ。ファーミングのような比較的新しい情報盗難の報告やスパイウェアの悪用が増えた。スパムメール送付元に市民のe-mailアドレス、携帯電話の番号などを売却するため、データを不正に獲得するケースも多くみられた。

今回は2005年に米国で明らかになった個人情報盗難事件を振り返り、情報漏洩に関する動きをみてみたい。

●史上最大の個人情報盗難事件

2005年は個人情報盗難についての大きな事件が相次いだ。そのひとつが、6月16日に明らかになった、CardSystemsからの4000万件の情報がハッカーに漏洩した事件だ。

CardSystemsはカード会社からの委託で、小売店で消費者が使用した情報を金融機関へ送っているが、転送するだけで社内に保存しないことになっているクレジットカード情報を、カード会社各社の契約に反して保存していたらしい。

事件については、現在も捜査が続けられていることから、細かい内容については明らかになっていない。被害にあったとみられているカード会社はMasterCard、American Express、Discover Financial、Visa Internationalだ。

ハッカーがアクセスしたのは4000万件だが、そのうち不正使用された数は、正式に公表されていないものの、6万8000枚分という情報もある。MasterCardやVisa Internationalでは、過去数年にわたり、小売店のセキュリティ体制強化のために様々なガイドラインを作成している。CardSystemsはそれに違反していた。その結果、American ExpressやVisaが契約を解消。CardSystemsは経営難に陥り、現在CyberSourceと買収するための話し合いを行っている。個人情報保護の企業としての認識が足りなかったために、1つの会社が姿を消すことになりそうだ。

●趣味から金儲けへ。ハッカーの動機変化

ハッカーによる事件はその他にも報告されている。2003年10月にシークレットサービスが行ったファイヤーウォール作戦。インターネットの犯罪者を一掃する目的で、多数の検挙者が出た。そのうちの1人が、当時21歳のニコラス・ジェイコブソンだ。クレジットカード情報をインターネットのブラックマーケットで取引していたことが検挙の理由だったが、その後の調べで、携帯大手のT-Mobileにもハッキングして不正に情報を獲得していたことがわかった。

ジェイコブソンはパリス・ヒルトン他、セレブが携帯電話のカメラで写した画像などをインターネット上で販売していた。犯行は1年以上にわたり続けられていたようだ。また、T-Mobileを使用していた、財務省検察局の捜査員もハッカーに情報を不正に取得された。

3月には、靴の小売チェーン店、DSW Shoe warehouseで10万件の漏洩が明らかになった。その後4月に、さらに130万件が漏れていたことが発覚しているので合計140万件だ。DSWはオハイオ州に本社を置き、約200店の支店を持つ。

事件はハッカーが店舗のサーバにアクセスして、クレジットカード情報を盗んだというものだ。入手したデータの不正使用も行っている。事件が明らかになる前、3ヵ月ほどの間、不正行為が続いていた。そのため、被害を拡大させたとして、企業の責任が問われた。DSWは包括的な情報セキュリティプログラムを採用すること、そして第三者のセキュリティ企業の監査を1年ごとに、20年間行うことで、12月にFTCと和解している。

犯人は100件以上の店舗のデータにアクセス。被害総額は650万ドルから950万ドルとみられている。

その他、ハッカーによる大きな事件では、4月に伝えられたポロラルフローレンからの18万件を挙げたい。POSに残っていたクレジットカードを使って購入した消費者の情報に、ハッカーがアクセス、データを取得した。HSBCやMasterCardでポロラルフローレンの製品を買った市民が被害を受けたものだ。

POSは商品を販売する場所(POINT OF SALES)で、品名など販売データを収集することで、在庫管理やマーケティングに用いるシステム。通常、購入に絡んだ情報は銀行に送付後すぐに、消去することになっているが、ポロラルフローレンでは保存していた。CardSystems同様、規定違反により事件が起こったとして、クレジットカード会社での監視が強まることになった。

【執筆:バンクーバー新報 西川桂子】

──
この記事には続きがあります。
全文はScan Security Management本誌をご覧ください。
https://www.netsecurity.ne.jp/14_3697.html
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×