海外における個人情報流出事件とその対応 第179回 史上最悪の漏えい事件で国際犯罪団起訴 (2)国境なきサイバー犯罪 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.11.21(火)

海外における個人情報流出事件とその対応 第179回 史上最悪の漏えい事件で国際犯罪団起訴 (2)国境なきサイバー犯罪

国際 海外情報

●同様の手口で攻撃されたレストランチェーン

 またGONZALEZ、SUVOROV、YASTREMSKIYの3人については、レストランチェーン、DAVE & BUSTER'Sのコンピュータネットワークに侵入。最低でも11の店舗から、クレジットカードやデビットカードの番号を盗んだとして、2008年5月にすでに一度、逮捕されていた。

 3人はレジのターミナルにアクセスして、各レストランにSNIFFERをインストール。コンピュータネットワーク上でコミュニケーションを獲得することで、クレジットカードやデビットカードの番号を盗みだしていた。

 このSNIFFERをインストールしたことで、DAVE & BUSTER'Sの一店舗では約5,000件のカードに関するデータが盗まれた。ネットワークへの攻撃は、TJXの情報漏えい事件が明らかになった後の2007年4月から9月の間に行われた。

 不正に取得したデータはTJX同様に、一部はインターネット上のブラックマーケットで売却、また一部は自分たちが使用していた。カードの再発行などで、金融機関に60万ドル以上の被害を受けた。

 司法省によると、DAVE & BUSTER'Sの事件でGONZALEZが使用したSNIFFERプログラムには不具合があったという。感染したPOSシステムが再起動されるたびに、起動できなくなるというものだ。しかし、3人は辛抱強く攻撃を続けたようだ。

 盗み出したデータは"トラック2"と呼ばれるカード情報だ。カードの磁気ストライプに保管されていて、口座番号や有効期限など重要なデータが含まれる。

 GONZALEZらの犯行は、WIFIネットワークのセキュリティ強化の必要性を再確認するものとなった。無線LANにはWPA、WPA2やIEEE 802.111などの暗号化通信を用いてセキュアにする必要があると言われている。一般ユーザも個人情報盗難の被害に遭わないためにも重要だが、大きなリスクを抱えているのは、今回クラッキングの被害を受けたような小売店だろう。

●なかなか強化されない無線LANのセキュリティ

 クレジットカードの支払い処理で、不正やクラッキングなどの被害を防ぐために、ビザやマスターカードなどが作成した、PAYMENT CARD INDUSTRY(PCI)のデータセキュリティの基準でも、処理でセキュリティを確保する必要性は明記されている。しかし、実際には、無線LANのセキュリティはまだまだ甘いようだ。

 2007年11月にAIRDEFENSEが発表した『2007年小売店ワイヤレスセキュリティ調査(RETAIL SHOPPING WIRELESS SECURITY SURVEY)』によると、「小売店は物理的な盗難に対するセキュリティを確保しているものの、ワイヤレスセキュリティに対しては同様の強い対策が取られていない」ことが分かっている。

 米国および欧州の一部地域で、小売店など3,000店のワイヤレス環境を調査したところ、外部からノートパソコンや携帯機器、バーコードスキャナーなど2500のデバイスを探知することができた。それだけでなく、うち85%はセキュリティが不十分でハッキングが可能な状態だったという。

 ただし、5,000件近くのアクセスポイントのモニタリングを行い、暗号化されていなかったのは25%だった。25%が多いか少ないかは別問題として、75%がWPAやWPA2で保護されていたというのは朗報だ。PAYMENT CARD INDUSTRY(PCI)のデータセキュリティの基準で暗号化が求められているし、カード会社による監査も定期的に行われていることが、効果を示しているのだろう。

 暗号化されていたのにもかかわらず、ハッキングが可能だったのは、アクセスポイントの設定が間違っていることにより、バックドアが開いている状態であるためだ。例えば、WPAを使用しているものの、WEPも同時に作用しているようなアクセスポイントもあった。WEPはすでに時代遅れとなっていて、問題があったためにWPAが開発されたという代物だ。

 ほかにも無線LANのアクセスポイントの識別子であるSSIDが店舗名であったケースも報告されている。一般的に、パスワードに氏名など、犯罪者に識別されやすいようなものは使わないというのが常識だが、小売業界では残念ながら、その常識が守られていなかったようだ。今後はWPAなどでセキュリティを確保しつつ、その環境整備も必要となりそうだ。

●国際化を続けるサイバー犯罪

 今回の起訴で注目を集めている1つが、犯罪組織の国際性だ…

【執筆:バンクーバー新報 西川桂子】
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

国際 カテゴリの人気記事 MONTHLY ランキング

  1. スバルのキー・フォブに脆弱性あり、オランダ人技術者語る(The Register)

    スバルのキー・フォブに脆弱性あり、オランダ人技術者語る(The Register)

  2. WPA2の新たな脆弱性への攻撃KRACK、暗号化技術の根底にある欠陥(The Register)

    WPA2の新たな脆弱性への攻撃KRACK、暗号化技術の根底にある欠陥(The Register)

  3. インドのレジストリで情報漏えい、インドのネットを壊滅させるデータのビットコイン価格とは(The Register)

    インドのレジストリで情報漏えい、インドのネットを壊滅させるデータのビットコイン価格とは(The Register)

  4. 死亡した男性のメールアカウントを巡るヤフーと裁判所の争い(The Register)

  5. 「Tor 禁止令」を解く Facebook、暗号化の onion アクセスポイントを宣伝~これからは暗号化通信も完全に OK(The Register)

  6. セキュリティ人材の慢性不足、海外の取り組みは(The Register)

  7. SMSによる二要素認証が招くSOS(The Register)

  8. iCloudからの女優のプライベート画像流出事件、容疑者がフィッシングの罪を大筋で認める

  9. AWS 設定ミスでウォールストリートジャーナル購読者情報他 220 万件流出(The Register)

  10. Anonymousが幼児虐待の秘密の拠点を閉鎖~Tor小児愛者を攻撃し氏名を暴露(The Register)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×