海外における個人情報流出事件とその対応 第182回 世界中で犯罪者が狙うPIN番号 (2)急がれるセキュリティ基準の整備 | ScanNetSecurity
2024.03.29(金)

海外における個人情報流出事件とその対応 第182回 世界中で犯罪者が狙うPIN番号 (2)急がれるセキュリティ基準の整備

●米国では7-Eleven設置のATMが被害

国際 海外情報
●米国では7-Eleven設置のATMが被害

 7月には米国サンノゼの7-ElevenのCitibankのATMが攻撃され、不正な出金があった。正確な被害額は公表されていないが、数十万ドルにのぼったとみられている。

 攻撃が行われていたのは2007年10月から今年3月までだが、もっと長期にわたっていた可能性もあるようだ。7-Elevenに設置されたCitibankのATMは米国全体で約5,700台ある。

 米国の事件では、ハッカーはターミナルではなく、ATMシステムのインフラをターゲットにしている。以前のATMはOS/2を用いたものがほとんどだったが、近年、Microsoft社のWindowsタイプが増えている。2004年12月以降、OS/2のサポートがなくなったことやWindowsベースのシステムは、リモートでの診断やリペアを行うことができるし、XP Embeddedになるとアップグレードも簡単にすることができる。

 ただし、Windowsはワームやウイルスなどのマルウェアに感染する可能性が高い。さらに、業界基準で暗号化が決められているものの、実施されていないことも多いため、ユーザが出金などのため入力したPINが、金融機関のシステムに送られる際に、その情報をハッキングに成功する犯罪者がいる。

 サンノゼの事件後、APに対して、ガートナーのアナリスト、アビバ・リタンも「PIN番号は神聖なものでなければならない」とした上で、「銀行はもっと優れた不正探知システムおよび認証が必要だ」とコメントしている。このような事件が起こるということは、暗号化が適切に行われていないということになる。

 3月にはニューヨークに住む男性3人組が、やはり7-Elevenに設置されたATMから70万ドルを超える出金を行ったとして起訴されるなど、さまざまな事件が明らかになっている。しかし、報じられていないターミナルやATMへの攻撃も多数あるという。特にここ数年、ATMのバックエンドからの攻撃が急増していると、セキュリティ専門家も警告を行っている。

●UAEでも不正引き出し

 PIN番号盗難は世界中に広がっていることを証明するように、今度はアラブ首長国連合(UAE)での事件が報道された。ハッカーがアラブ首長国連合の金融機関を狙ったATM不正を行っていると、9月12日付け『Times』が伝えている。犯人らは偽の銀行カードやクレジットカードを用いて、顧客の口座から現金を引き出した。

 金融機関は被害総額や、攻撃を受けた口座数など詳細は明らかにしていない。しかし、当初の捜査ではATMがデバイスで不正操作されていて、利用者がPIN番号を入力するとその情報を獲得するようになっていたと考えられている。

 事件が明らかになった後、ターゲットとなった金融機関の一つで支店長を務めるスヴォ・サカールは、「本当にどのようにして起こったのかはわからない」と語っている。全容はまだ明らかになっていないが、問題は広範囲に広がっている可能性もあるという。被害を受けたのはHSBC、Citibank、Lloyds、TSB、ナショナル・バンク・オブ・アブダビ、エミレーツNBD、ドバイ銀行など、ほぼ全ての国内大手金融機関だ。

 いまだに犯人逮捕にいたっておらず、ヒントになるようなものも分かっていないようだが、サカールは、「国際的なネットワークの一部のようだ」と話している。これは、不正使用はアラブ首長国連邦国外20カ国以上でも行われているためだ。

 金融機関側ではテキストメッセージなどで、顧客に対して、PIN番号の変更を呼びかけ、損失を食い止めようと必死だ。中にはPIN番号を変えなかった顧客の口座をブロックした銀行もある。ドバイ銀行では、不正な出金は海外で行われたケースが多かったために、海外からのATMへのアクセスを差し止めた。攻撃を受けた口座は42件だった。

 さまざまな金融機関が対応を急ぐ中で、一部では大きな混乱を起こしているようだ。一方で、事態は管理下にある、など顧客に対して安心を呼びかけている。不正な引き出しを受けた顧客は、被害金額を金融機関で負担し、口座へ払い戻すと発表している銀行もある。

 しかし、状況に苛立つ顧客も多く、中には口座を解約してしまう利用者もいるようだ。ドバイ銀行のように海外からの口座へのアクセスを差し止めると、出張や休暇に国外に出かけた顧客が、出金できなくなり困るという事態が起こる可能性もある。他にも一部のカードはキャンセル、再発行となっている。カードを紛失するなど自己責任の場合は、少々の不便も仕方がない。しかし、何者かが情報を盗み出したという自分とは関係ない原因で、顧客は再発行されたカードを受領するまで待つ必要があった。

 金融機関側は、事態は管理下にあると説明している。ただし、Visaのデビットカードを持つ市民の1人は、発行元であるCitibankに、通知なしにカードがキャンセルされていたと怒りを隠さない…

【執筆:バンクーバー新報 西川桂子】
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×