海外における個人情報流出事件とその対応第183回監査でセキュリティお墨付き企業からデータ流出 (2)監査に合格しても必要なさらなる警戒

●基準準拠のスーパーマーケットからも漏えい

国際海外情報

2008年11月11日（火） 17時00分

●基準準拠のスーパーマーケットからも漏えい

　PCIに準拠していると言っても、セキュリティは完璧ではないということを証明するような事件は、遡って3月にも明らかになっている。これはメイン州に本社を置くスーパーマーケットチェーン、Hannaford に関するものだ。

　Hannafordでは420万件ものクレジットカードおよびデビットカード番号が漏えいしていた。期間は12月7日から3月10日の約4カ月間だ。その結果、情報は不正に使用され、1,800件ほどのケースが報告されている。被害を受けた金融機関は70件にものぼる。

　420万件というと、2007年に明らかになったTJX以来最悪の数字とされている。TJX事件での漏えい件数はさまざまな数字があるが、一般的に確認されているのが4,570万件だ。Hannafordの数字は、TJXの1割に過ぎないとはいえ、それでも420万は大変な数字だ。

　事件後、HannafordのRonald J. Hodge社長は、「カードの認証処理の間にハッカーはカード番号や有効期限といった極秘情報を取得していた」と報告している。データがPOSターミナル、レジ、サーバー間を移動する間のどこかで、不正アクセスを受けていたというものだ。これは、スーパーマーケットの利用者がクレジットカードやデビットカードを読み取り機にかけて、その利用が承認されるまでの間に、データが盗まれたという意味になる。

　そして、Hannafordの事件でも、マーケティング部長のCarol Eleazerが、事件の1年前、「PCIに準拠しているとの認定を受けた」ことを確認。それだけでなく、実際に情報が盗まれていたとされる2月にも、再び認定を受けていたというのだ。認定を受けている間にも、極秘情報が不正にアクセスされていたことになる。

　Eleazerはさらに、同社は2007年からずっとデータ暗号化を行ってきていることを明らかにしている。そして、事件が判明する直前には、ワイヤレス暗号化システムをアップグレードしている。

　PCIはVISAやMasterCardなどのクレジットカード会社が協力して作成した、カード所有者を守るための、小売店などカード加盟店におけるセキュリティ標準を定めたものだ。2004年に生まれたが、翌2005年にカードシステムズからの大量データ流出事件などがあったことから、2006年に規準が改正され、より強化されたものになっている。

　しかし、HannafordがPCIに準拠していたなら、なぜ漏えい事件が起こったのか、規準はまだまだ不完全ということではないかという疑問が生まれる。準拠していたとされているForever21についても同様だ。

●セキュリティ専門家が問題視するPCI

　この状況を報じた『Enterprise Systems』の記事では、Regulusの最高セキュリティ責任者、Christian Phillipsから話を聞いている。Regulusはトランザクションや送金処理の大手プロバイダーだ。Phillipsによると、
1. 加盟店がPCI準拠し、ITセキュリティ管理のための予算を増やす
2. 利害関係にない第三者がPCIに参入して、統一的なITセキュリティ規準を定めるのいずれかが必要だという。

　現在のPCI規準の問題について、Phillipsは、一貫していないことを挙げている。これは、VISAやMasterCardが加盟店に対して、次に何を要求してくるか予測ができないこと、承認されたデバイスやソフトウェアがひんぱんに変わることについてだ。PCIにおける規準策定の体制にも問題があるというものだ。

　一方、『Washington Post』のBrian Krebsも3月18日付けのセキュリティ・ブログで、Hannafordの事件を取り上げている。ブログでは、「（調査・対応部では）データを小売店からクレジットカードの処理に送信した後、また戻ってくるまでの間に、ハッカーが財務データを狙ったケースを多数、調査中だ」というサイバートラスト社のBryan Sartin調査・対応部長の話を、紹介している。

　Sartinによると、自分たちが保管しているクレジットカードやデビットカード情報については、小売店は非常に注意を払って暗号化を行っている。しかし、PCIでは、公共のネットワークを通るデータを暗号化するようにはしているが、社内ネットワークや公共のネットワークでない場合は、暗号化を義務付けていないため、一部のデータが危険な状況にあるというものだ。

　ほかにも、PCI規準は内部関係者の攻撃に弱いという声もある。例えばカード読み取り機においてデータを盗難するように、なんらかの細工を行った場合、いくらデータ送信が暗号化されていても、犯罪者は送信されたデータではなく、読み取りを行うその場所でアクセスして、データを盗み出してしまう。PCIは元来、e-commerceを利用する加盟店向けに作成されたもので、店を実際に構えて、顧客がその店で買い物をするような一般的な小売店の想定は二次的なものとなっているという専門家がいる。確かに、店舗に設置されたカード読み取り機のセキュリティは不十分なようだ。

　情報漏えい事件において、社員など、社内にいる人間が関わっている可能性が高いということは常に言われてきた。現在、アクセスコントロール条項もあるが、各店舗レベルでのセキュリティ強化をPCIにさらに盛り込む必要がありそうだ。

●監査に合格しても警戒は必要

　一方、10月3日付けの『SC Magazine』で、PCIの査定を行う企業、Secure StateのKen Stasiakは、加盟店側は、PCIに準拠しているといって、セキュリティが万全だと考えるのをやめる必要があると指摘して…

【執筆：バンクーバー新報西川桂子】
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec

《ScanNetSecurity》