MasterCard Internationalは米国時間17日、4000万件を超えるクレジットカード情報が盗まれた可能性があると発表した。
MasterCardによると、情報が流出したカードのうち、約1390万件が同社ブランドのもので、このほかVisaのクレジットカード約2000万件に関する情報も盗まれており、またAmerican ExpressやDiscoverを含む他のカードにも被害が及んでいるという。
MasterCardとVisaはともに、それぞれの加盟銀行に情報が流出したカードについて告知し、それらのカードについて銀行側で利用者保護対策を取れるようにしたと述べている。
Javelin Strategy & Research(本社:カリフォルニア州プレザントン)の上級アナリスト、James Van Dykeによると、「これだけ大量の情報が流出したことはかつてなかった」という。
MasterCardの声明によると、今回の情報流出は、アリゾナ州ツーソンの支払いデータ処理業者、CardSystems Solutionsで発生したもので、犯人は同社のネットワークに存在していたセキュリティ上の脆弱性を悪用して内部に侵入し、カード保有者の情報にアクセスしたという。
CardSystemsは、銀行や加盟店などに代わってカードの支払い処理を行う企業の1つで、今回の情報流出については、クレジットカード詐欺の監視ツールを使用した際にこれを発見したと、MasterCardは述べている。
ただし、クレジットカード番号は流出したものの、カード自体には社会保障番号や生年月日などの情報は含まれていない。そのため、盗まれた情報は、クレジットカード詐欺に悪用される可能性はあるものの、それを利用したなりすましの可能性はないと、MasterCardは述べている。
Discover Cardの広報担当、Leslie Suttonによると、同社では今回の情報流出を認識しており、捜査機関と協力しながら調査を進めているという。Suttonはまた、今後何らかの不正利用が発生したとしても、Discover Cardの保有者が支払い義務を負うことはない点を強調した。
Visaも声明を発表し、同社がこの情報流出について認識しており、捜査当局やカードの発行銀行と共同で詐欺の監視/予防に努めているとしており、MasterCardやDiscoverと同様、同社の場合も、情報が盗まれたVisaカードの保有者が、不正利用に対する支払い義務を負うことはないと述べている。
American Expressからはこの件に関するコメントはすぐに得られなかった。
CardSystemsの話では、クレジットカード情報が盗まれたのは先月後半の可能性が高いという。同社は米国時間17日に発表した声明のなかで、5月22日の日曜日に「セキュリティインシデントが発生した可能性」があり、翌23日にはこの件をFBIに通報し、あわせてVisaとMasterCardにも告知したと述べている。
この事件発生後、CardSystemsはセキュリティ監査を実施し、またその結果にしたがって、セキュリティ対策の修正を行っているところだと同社は述べている。