海外における個人情報流出事件とその対応「スーパーでのスキミングの手口とその対応」(1)改ざんされたカード読み取り機 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.03.28(火)

海外における個人情報流出事件とその対応「スーパーでのスキミングの手口とその対応」(1)改ざんされたカード読み取り機

国際 海外情報

●スキミング急増で急がれるセキュリティ強化
12月7日付けで「Mercury News」が、米国のスーパーマーケットで支払いにクレジットカードを用いた顧客の情報が不正に使用されたと伝えている。事件の舞台になったスーパーマーケットとは、サンフランシスコのベイエリアに約70店の店舗を持つLucky Supermarketだ。

「Mercury News」によると、Lucky Supermarketではクレジットカードのアカウント詐欺の被害に遭ったとして、1,000件以上の電話を受け取ったという。被害はスキミングによるものらしい。利用者の一人はサンフランシスコの北、ペタルーマのLucky Supermarketで紙おむつを購入したところ、何者かが約80キロ南にあるバーリンゲームにあるChase銀行のATMで同利用者の口座から400ドルを引き出した。

幸い、この被害者はすぐに事態に気付き、銀行と警察に連絡した。Chase銀行は、400ドルを口座に戻している。Exchange BankでもLucky Supermarketの利用者18人のアカウントに不正アクセスされ、ATM機器から一回あたり平均で775ドルが引き出されていた。

Lucky Supermarketでは、多数のセルフチェックアウトターミナルがハッキングされたとして、ベイエリアの約20軒の店舗でターミナルを使用した顧客に、銀行およびクレジットカードのアカウントを閉鎖するよう勧めている。

Lucky Supermarketの親会社であるSave Martの12月5日付け発表によると、セルフチェックアウトのクレジットカードとデビットカードの読み取り機が改ざんされて、不正読み取り機が仕掛けられていたという。被害を受けたのは80人前後のようで、多くは12月3日および4日の週末にLucky Supermarketへ届けがあった。しかし別の報道では、スタッフが初めてスキミングのデバイスを見つけたのは11月3日だったというから、通知まで20日もかかったことになる。同社が事態を発表したのは11月23日だ。

23日付け消費者向けの通知では、20店で「改ざんされたカード読み取り機」が使われているとされている。その後、さらに4店の読み取り機について、23日以前に取り替えられていたものの、最初の調査では確認されなかったとする追加報告があった。すなわち、合計24店で被害があったことになる。また1店舗につき、被害を受けた機械はそれぞれひとつだけだったという。

スキミングデバイスがどれぐらいの期間、利用者の情報を不正に集めていたかは、まだ発表されていない。ただし、10月1日にはすでに設置されていたという情報もある。

●漏えい元となったSave Martの対応
Save Martでは発表で、問題の店舗でのセルフチェックアウト利用者に、金融機関にアドバイスを求めることも勧めている。また、実際に何者かにアカウントがアクセスされていることを確認した場合は、直ちにその金融機関に状況を知らせ、Experian、Equifax、TransUnionのいずれかの信用報告機関に連絡すること、さらにカードの使用状況を監視しておくこともアドバイスしている。

一方でSave Martは…

※本記事は有料購読会員に全文を配信しました

(バンクーバー新報 西川桂子)
《吉澤 亨史》

関連記事

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

国際 カテゴリの人気記事 MONTHLY ランキング

  1. 勤務先の内部情報をダークWebに売る社員、闇のインサイダー取引サービス成長中(The Register)

    勤務先の内部情報をダークWebに売る社員、闇のインサイダー取引サービス成長中(The Register)

  2. Google、イギリス国民保健サービスからのアクセスをボットのサイバー攻撃と勘違いし通信遮断(The Register)

    Google、イギリス国民保健サービスからのアクセスをボットのサイバー攻撃と勘違いし通信遮断(The Register)

  3. 中国の検閲システム「グレートファイアウォール」が未認可のVPNの規制強化(The Register)

    中国の検閲システム「グレートファイアウォール」が未認可のVPNの規制強化(The Register)

  4. トランプの非アメリカ人のプライバシー権否定の大統領令、大手ネット企業の海外取引への影響(The Register)

  5. iCloudからの女優のプライベート画像流出事件、容疑者がフィッシングの罪を大筋で認める

  6. 「Tor 禁止令」を解く Facebook、暗号化の onion アクセスポイントを宣伝~これからは暗号化通信も完全に OK(The Register)

  7. トランプ氏の大統領令で混乱生じるさなか、EU・米国間のデータ保護法発効(The Register)

  8. 沈みゆく船から撤退せよ、史上初SHA-1ハッシュ衝突の成功と今後の排除の流れ(The Register)

  9. 書評「Dark Territory」(3) USCYBERCOM 設立前後 (90年代後半~2000年代初頭)

  10. 米海兵隊、サイバー戦争に向け兵士 3,000 名増員(The Register)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×