大規模情報漏洩、進化する手口 傾向に変化が見られた2005年 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.08.22(火)

大規模情報漏洩、進化する手口 傾向に変化が見られた2005年

特集 特集

2004年、米国の連邦取引委員会への消費者からの苦情で最多を占めたのは、個人情報盗難についてだ。2005年もこの傾向は変わらないようで、大規模な個人情報漏洩事件が相次いだ。ファーミングのような比較的新しい情報盗難の報告やスパイウェアの悪用が増えた。スパムメール送付元に市民のe-mailアドレス、携帯電話の番号などを売却するため、データを不正に獲得するケースも多くみられた。

今回は2005年に米国で明らかになった個人情報盗難事件を振り返り、情報漏洩に関する動きをみてみたい。

●史上最大の個人情報盗難事件

2005年は個人情報盗難についての大きな事件が相次いだ。そのひとつが、6月16日に明らかになった、CardSystemsからの4000万件の情報がハッカーに漏洩した事件だ。

CardSystemsはカード会社からの委託で、小売店で消費者が使用した情報を金融機関へ送っているが、転送するだけで社内に保存しないことになっているクレジットカード情報を、カード会社各社の契約に反して保存していたらしい。

事件については、現在も捜査が続けられていることから、細かい内容については明らかになっていない。被害にあったとみられているカード会社はMasterCard、American Express、Discover Financial、Visa Internationalだ。

ハッカーがアクセスしたのは4000万件だが、そのうち不正使用された数は、正式に公表されていないものの、6万8000枚分という情報もある。MasterCardやVisa Internationalでは、過去数年にわたり、小売店のセキュリティ体制強化のために様々なガイドラインを作成している。CardSystemsはそれに違反していた。その結果、American ExpressやVisaが契約を解消。CardSystemsは経営難に陥り、現在CyberSourceと買収するための話し合いを行っている。個人情報保護の企業としての認識が足りなかったために、1つの会社が姿を消すことになりそうだ。

●趣味から金儲けへ。ハッカーの動機変化

ハッカーによる事件はその他にも報告されている。2003年10月にシークレットサービスが行ったファイヤーウォール作戦。インターネットの犯罪者を一掃する目的で、多数の検挙者が出た。そのうちの1人が、当時21歳のニコラス・ジェイコブソンだ。クレジットカード情報をインターネットのブラックマーケットで取引していたことが検挙の理由だったが、その後の調べで、携帯大手のT-Mobileにもハッキングして不正に情報を獲得していたことがわかった。

ジェイコブソンはパリス・ヒルトン他、セレブが携帯電話のカメラで写した画像などをインターネット上で販売していた。犯行は1年以上にわたり続けられていたようだ。また、T-Mobileを使用していた、財務省検察局の捜査員もハッカーに情報を不正に取得された。

3月には、靴の小売チェーン店、DSW Shoe warehouseで10万件の漏洩が明らかになった。その後4月に、さらに130万件が漏れていたことが発覚しているので合計140万件だ。DSWはオハイオ州に本社を置き、約200店の支店を持つ。

事件はハッカーが店舗のサーバにアクセスして、クレジットカード情報を盗んだというものだ。入手したデータの不正使用も行っている。事件が明らかになる前、3ヵ月ほどの間、不正行為が続いていた。そのため、被害を拡大させたとして、企業の責任が問われた。DSWは包括的な情報セキュリティプログラムを採用すること、そして第三者のセキュリティ企業の監査を1年ごとに、20年間行うことで、12月にFTCと和解している。

犯人は100件以上の店舗のデータにアクセス。被害総額は650万ドルから950万ドルとみられている。

その他、ハッカーによる大きな事件では、4月に伝えられたポロラルフローレンからの18万件を挙げたい。POSに残っていたクレジットカードを使って購入した消費者の情報に、ハッカーがアクセス、データを取得した。HSBCやMasterCardでポロラルフローレンの製品を買った市民が被害を受けたものだ。

POSは商品を販売する場所(POINT OF SALES)で、品名など販売データを収集することで、在庫管理やマーケティングに用いるシステム。通常、購入に絡んだ情報は銀行に送付後すぐに、消去することになっているが、ポロラルフローレンでは保存していた。CardSystems同様、規定違反により事件が起こったとして、クレジットカード会社での監視が強まることになった。

【執筆:バンクーバー新報 西川桂子】

──
この記事には続きがあります。
全文はScan Security Management本誌をご覧ください。
https://www.netsecurity.ne.jp/14_3697.html
《ScanNetSecurity》

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. [セキュリティ ホットトピック] 起動領域を破壊し PC を完全にロックするランサムウェア「Petya亜種」

    [セキュリティ ホットトピック] 起動領域を破壊し PC を完全にロックするランサムウェア「Petya亜種」

  2. [セキュリティホットトピック] サイバー攻撃に対して備えるべき機能・組織・文書など、総務省が「防御モデル」として策定

    [セキュリティホットトピック] サイバー攻撃に対して備えるべき機能・組織・文書など、総務省が「防御モデル」として策定

  3. ISMS認証とは何か■第1回■

    ISMS認証とは何か■第1回■

  4. ここが変だよ日本のセキュリティ 第29回「大事な人。忘れちゃダメな人。忘れたくなかった人。誰、誰……君の名前は……セキュリティ人材!」

  5. 工藤伸治のセキュリティ事件簿 シーズン6 「誤算」 第1回「プロローグ:七月十日 夕方 犯人」

  6. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  7. スマホが標的のフィッシング詐欺「スミッシング」とは、現状と対策(アンラボ)

  8. Heart of Darknet - インターネット闇の奥 第1回「プロローグ」

  9. 工藤伸治のセキュリティ事件簿シーズン6 誤算 第4回「不在証明」

  10. シンクライアントを本当にわかっていますか 〜意外に知られていないシンクライアントの真価

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×