海外における個人情報流出事件とその対応 第176回 珍しい金融機関からのPIN番号漏洩 (2)着実に増え続ける個人情報盗難事件 | ScanNetSecurity
2021.07.30(金)

海外における個人情報流出事件とその対応 第176回 珍しい金融機関からのPIN番号漏洩 (2)着実に増え続ける個人情報盗難事件

●複数ながらも類似の名前を使用

国際 海外情報
●複数ながらも類似の名前を使用

 米国の捜査機関は、常に不正に獲得したカード情報を売買する「カーディング」と呼ばれるウェブサイトを監視しており、2005年ごろからニューヨークのブルックリン地区に住む、29歳のYuriと名乗る人物が、クレジットカード情報を販売していたのを確認している。サイトを追うとYuriは50枚のクレジットカードを不正に獲得したと明らかにしている。

 多少、Ryabininの名前とは異なるが、手口がよく似ている上、住所や年齢も合う。さらに、当局がGoogleで調べると、アマチュア無線家であることが一致した。さらにアマチュア無線愛好家のサイトで、2002年と2003年に行われたコンベンションの際の写真が紹介されており、その中に、シティバンクとFirst Bankのビデオカメラに記録されていたものと同じ服を着た男性が写っていた。つまり、普段着ている服装のままで犯行に及んでいるのだ。

 Ryabininの起訴状では、Rakushchynetsという名前も出ている。これは、Ryabininが複数の名前を使用していたと見られているためだ。アマチュア無線家としての活動は、Yuriy Ryabininとなっている。

 さらに、公文書検索を行うと、Yuriy Ryabininはフロリダの免許証を持っていた。免許証を取得した際の写真も、若干は若いものの、今回の事件の犯人として、ATMで録られたビデオと一致している。

 そして、Yuriy Ryabininは、Yuriy Rakushchynetsが所有する車両を運転していた。Yuriy Rakushchynetsについての公文書検索では、ミシガン州の免許証を所有する男性に行き着いた。写真に写っていたのは、Ryabinin本人だったということで、2つの名前を使用する同一人物だと考えたものだ。

●PIN番号不正取得の手口

 2月28日付けの起訴状におけるシティバンクに関する情報を見たところ、金額に関する情報のみで、いかにして引き出しを行うためのPIN番号を獲得したのかは、残念ながら全く明らかになっていない。しかし、続いて3月7日付けの起訴状では、今度はアクセスデバイス詐欺でRakushchynetsが追訴されている。

 また、アクセスデバイスに関する件では、共犯者としてIvan BiltseとAngelina Kitaevaも起訴を受けている。BiltseはRyabinin同様にATMから引き出しを行ったこと、Angelina Kitaevaは入金を行ったという。2人とも、不正であることを知っていたという主張だ。

 この起訴でも、詳しい手口は明らかにされていないが、「被告は2008年3月4日以前に、インターネットでシティバンクの複数顧客の口座に関する情報を入手していた」とある。これが、Poulsenのシティバンクのシステムが攻撃を受けたと考える根拠だろう。

 ただし、PIN番号は小売店などで設置しているPINパッドに入力する際、消去せずにデータとして保管していることがあり、これらの情報が盗まれたケースはこれまでにも幾つかある。方法はハッキングだ。

 PIN番号のハッキング例では、2006年3月にバンク・オブ・アメリカ、ウェルズ・ファーゴ、ワシントン・ミューチュアル、シティバンクなどのPIN番号が大量に盗まれた事件がある。被害者は事務用品のOffice Maxと、ディスカウントストアWalmart系Sam's Clubのガソリンスタンドを使用していたことから、Office MaxとSam's Clubから情報が漏れたと言われた。

 事件を受けて、シティバンクでは不正使用が確認されたカナダ、ロシア、英国でのPIN番号を使用するような決済を停止した。また、各金融機関で、デビットカードの再発行を行うなどの措置を採っている。被害は20万件にのぼったとされている。

 大きな事件では、2005年に起こったクレジットカード決済を行う、CardSystemsのシステムにハッカーが不正にアクセスして、大量の情報を盗難したケースもある。ただし、今回の事件では、今のところは、Ryabininが大量の情報を所持していたという報告はないようなので、これらの事件のように、決済処理を行う企業からの漏洩とは考えにくいかもしれない。

 これまでにあったような手口を使ったのか、新しい方法だったのか、まだまだ事件の全容が明らかにはなりそうにない。事件に詳しいPoulsenは、24日付けのWiredで、FBIがさらに6人を逮捕したと紹介しているほか、ロシア人の関与についても採り上げている。

●PIN保護のための対策

 クレジットカードやデビットカードの不正使用の対応策としては、小売店などに不要な情報は保管しない、また送信時に暗号化することを求めるなど、金融機関が様々な努力を続けている。一方でユーザ側からの漏洩対策として、フィッシング詐欺などへの注意も行ってきた。

 このような状況の下、英国では2006年にチップ・アンド・ピンと呼ばれる、クレジットカードやデビットカードをICチップと暗証番号の2つで…

【執筆:バンクーバー新報 西川桂子】
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×