9月12日、米国アパレル大手Forever21(フォーエバー21)で9万9,000件の情報漏えい事件があったことが明らかになった。10万件近いこの件数は、ハッカーがアクセスしたと見られている、クレジットカードやデビットカードなど支払い用カードの枚数だ。 事件は、Forever 21による顧客に対する警告のウェブ・ポスティングとして、PR Newswireが伝えている。内容は、顧客の支払いカード情報を獲得するために、同社システムが不法アクセスを受けた可能性があると、法執行機関から連絡を受けたというものだ。 ボストンにある司法省の事務所が8月5日にマイアミ在住のAlbert "Segvec" Gonzalez、ウクライナのMaksym "Maksik" Yastremskiy、エストニアのAleksandr "Jonny Hell" Suvorov、中国のHung-Ming Chiu、Zhi Zhi Wangなどに対して、TJX 、BJ's Wholesale Club、OfficeMax、Boston Marketなど12件の小売店に対してクレジットカード詐欺で起訴している。Forever 21も被害を受けた企業の1社で、状況についてはシークレットサービスから、起訴の朝に連絡を受けた。 不正にアクセスされたと見られるファイルデータの入ったディスクを獲得。Forever 21では、フォレンジック・コンサルタントに依頼して、直ちに調査を始めた。被害に遭ったのは、比較的古いデータだ。 調査の結果、顧客が同社を利用した記録も確認することができた。2004年3月25、26日、6月23日、7月2、3日と2004年中は5日間、そして2007年8月4、5、13、14日と2007年の4日間のようだ。さらに、カリフォルニア州フレズノの店舗については、2003年11月26日から2005年10月24日と2年近くの間、攻撃を受けていた。 件数については、約9万8,930件、うちフラズノ店に関してはそのうち約2万500件という。クレジットカードやデビットカードの番号、一部についてはそのカードの有効期限なども漏れたようだ。ただし、顧客の氏名や住所は無事だった。 Forever 21は、Equifax, Experian、TransUnionといった、米国の主要信用調査機関にも漏えい事件の被害を連絡。同時にアクセス被害を受けた顧客にも通知を行った。 ここまでは、比較的よく報告されている情報漏えい事件と変わりない。しかし、今回の事件でショッキングだったのは、4年以上の間、Forever 21が定期的にセキュリティ状況を調査していたのにもかかわらず、侵入を探知していなかったことだろう。●PCIセキュリティ規準に準拠の企業がなぜ?2007年以降、クレジットカードの加盟店に対して、PCIデータセキュリティ規準(Payment Card Industry Data Security Standards) が課されている。同社のセキュリティ規準については、データ暗号化規準を含め、全て規定に準拠しているという。さらに事件後、定期的に侵入がないか監視を続けるとともに、セキュリティ規準を強化して、積極的に取り組んでいるという。 事件を報じた『Search Security』の記事で、セキュリティ・コンサルティングの会社、Securosisの創設者、Rich Mogullは「つい最近までは小売店の多くは、よく攻撃に遭っていた」と、問題はForever 21だけではないことを示唆している。 漏えいが分かったのが、2006年に明らかになったTJXへ攻撃を行った犯罪グループの逮捕に伴うことから、同事件での手口と同様、ワイヤレス・ネットワークが狙われたようだ。ほかの企業はウォードライビングでネットワークへの侵入を許しているが、Forever 21では「データセンターで、データの不正アクセスを受けた」と説明しており、POSにおいての攻撃を否定している。 一方、Forever 21がPCIデータセキュリティ規準に準拠していたという判定に疑問を持つ専門家もいる。Eweek.comやPCMagazine、CIO Insightなどでリテールテクノロジーの編集を行っていたEvan Schumanだ。 Schumanは、事件後、Forever 21が行った声明で「ファイルがほかのデータファイルの中で、不注意により(ハッカーに)奪われた」と… 【執筆:バンクーバー新報 西川桂子】 ── ※ この記事は Scan購読会員向け記事をダイジェスト掲載しました 購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec
