海外における個人情報流出事件とその対応 第190回 情報盗難犯に狙われる決済処理会社 (2)PCI DSS準拠下でも起きる漏えい事件 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.11.18(土)

海外における個人情報流出事件とその対応 第190回 情報盗難犯に狙われる決済処理会社 (2)PCI DSS準拠下でも起きる漏えい事件

国際 海外情報

●1カ月前にも決済会社からの漏えい

 今回のハートランドの事件が明らかになったのは1月20日だが、その約1カ月前の12月23日に、同様に決済会社の情報漏えいが明らかになった。被害を受けたのはRBSワールドペイ(RBS WorldPay)で、昨年11月にシステムをハッキングされ、150万件のカード所有者が影響を受けている可能性があるという。

 RBSワールドペイは、英国スコットランド・エジンバラに本社を持つ、ロイヤルバンク・オブ・スコットランド(Royal Bank of Scotland)グループの1社だ。同社Webサイトによると、世界第5位の金融グループで、本社は米国アトランタ州。Visa、MasterCard、Diners、American Express、JCB などのクレジットカード、デビットカードや世界各国固有のシステムによる、顧客からの電話、インターネットなどでの支払いを取り扱う。

 RBSワールドペイのプレスリリースによると、同社のシステムが不正アクセスを受けていたということだ。事件が発表されたのは12月23日だが、発覚したのは11月10日で、プリペイドカードの所有者などが被害を受けている。そのうち中心となったのは、どの小売店でも使用できるオープンループ型のギフトカードや、給与支払い用カードだった。給与支払い用カードは、今なお小切手での給与支払いが比較的一般的な北米で、小切手の代わりに使用されることがあり、従業員はATMで現金引き出しを行ったり、物品サービスの購入にも利用できる。

 給与支払い用カードに関する個人情報が、不正にアクセスされていたようだ。RBSワールドペイは、カードのPIN番号をリセットして、情報漏えいの被害者に事件の通知を行ったほか、被害者向けのWebサイトも用意した。

 事件が発表された23日の時点で確認されている不正使用は、約100枚のカードについてだ。また、150万人のカード所有者の個人情報がアクセスされたと見られており、中には110万人の社会保険番号も含まれている。

 RBSワールドペイでは社会保険番号にアクセスされたと見られる個人に対して、1年間の信用モニターサービスを無料でオファーしている。同時にEquifax、TransUnion、Experian米国の三大信用報告機関に報告して、不審な動きがあれば、すぐに確認できるようにした。

 しかし、信用モニターサービスは希望者に対するものであるため、利用しないカード保有者も少なくないと予測されている。情報漏えい事件が起こると、残念ながら事件を悪用した詐欺も発生する。今回の事件について書かれた記事、ブログへのコメントの中には、事件の通知を受け取り、そこに書かれた番号に連絡をすると、社会保険番号を聞かれたという消費者も登場している。

 すでに消費者が購入している同社発行のギフトカードについては、通常、引き続き使用は可能だ。ただし、未使用のものは、念のため店頭などで回収もしくは廃棄処分にした。

 同時に、事件の結果、起こったカード不正使用については、カード所有者には金銭上の責任を負わないことを、プレスリリースなどで確認して、安心するよう呼びかけた。そしてカードに不正な動きがあるようなら、カードの裏面に表示されている番号に連絡するよう求めている。

 RBSワールドペイの事件の場合は、例えばハートランドのようにキーロガーによる攻撃を受けて、情報が漏えいしたのかなど、ハッカーがどのようにして攻撃を行ったのかは明らかになっていない。しかし、複数の大手コンピュータセキュリティ会社と協力して、システムのセーフガードに努めているという。

 RBSワールドペイについては、事件発覚の数日後から一部弁護士事務所が集団訴訟の可能性を探っている。情報漏えい事件は企業のイメージを低下させるが、訴訟となるとさらに損失を受けると考えられる。

●決済会社は攻撃側にとって魅力

 ハッカーにとって、決済会社は魅力的なターゲットだと考えるセキュリティ専門家もいる。小売店を攻撃した場合、カード会社の探知も比較的迅速に探知できるが、決済会社の場合、被害者の共通項確認が比較的困難であるためだ。情報漏えいの事実が明らかになると、カードの悪用はできなくなる。ハッカー側にすれば、できるだけ長い間、不正使用ができるほど実入りが良いということになる。

 決済会社だけではなく、大規模な情報漏えい事件では、企業の決済システムにマルウェアが仕掛けられていることが多い。今後も組織はこれらのシステムの防御に努めていく必要がありそうだ。

 一方、カード会社も利用者保護に力を入れている。ハートランド・ペイメント・システムズの事件を受けて、MasterCardのクリス・モンテイロは、「MasterCardでは状況の進展を監視しており、リスクがあると考えられるカード発行会社に連絡を行った」と説明する。通知をすることで、各社でアカウントをさらに監視して、必要な場合はカードの再発行などの措置をとることができる。

 その上で、「カード所有者はそれぞれのアカウントに関して、懸念があるようなら、金融機関に連絡する」ことを呼びかけている。不正防止および財務情報を保護することは、MasterCardの最優先課題だというものだ。

●セキュリティのお墨付きでも起こった漏えい事件

 ハートランドの事件はPayment Card Industry Data Security Standard(PCI DSS)に準拠していたというだけに、一部関係者はショックを受けている。PCI DSSは…

【執筆:バンクーバー新報 西川桂子】
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

国際 カテゴリの人気記事 MONTHLY ランキング

  1. WPA2の新たな脆弱性への攻撃KRACK、暗号化技術の根底にある欠陥(The Register)

    WPA2の新たな脆弱性への攻撃KRACK、暗号化技術の根底にある欠陥(The Register)

  2. スバルのキー・フォブに脆弱性あり、オランダ人技術者語る(The Register)

    スバルのキー・フォブに脆弱性あり、オランダ人技術者語る(The Register)

  3. インドのレジストリで情報漏えい、インドのネットを壊滅させるデータのビットコイン価格とは(The Register)

    インドのレジストリで情報漏えい、インドのネットを壊滅させるデータのビットコイン価格とは(The Register)

  4. 「Tor 禁止令」を解く Facebook、暗号化の onion アクセスポイントを宣伝~これからは暗号化通信も完全に OK(The Register)

  5. セキュリティ人材の慢性不足、海外の取り組みは(The Register)

  6. SMSによる二要素認証が招くSOS(The Register)

  7. 死亡した男性のメールアカウントを巡るヤフーと裁判所の争い(The Register)

  8. iCloudからの女優のプライベート画像流出事件、容疑者がフィッシングの罪を大筋で認める

  9. AWS 設定ミスでウォールストリートジャーナル購読者情報他 220 万件流出(The Register)

  10. 搾取される底辺サイバー犯罪者、無料配付トロイにはバックドア(The Register)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×