米クレジットカード情報流出事件の詳細が明らかに

Joris Evers (CNET News.com) 2005年06月21日 19時01分

  • このエントリーをはてなブックマークに追加

 米国でクレジットカードの支払いデータ処理業者のネットワークに何者かが侵入し、4000万件以上のクレジットカード口座が不正に使用される危険にさらされた事件で、20日にさらなる詳細が明らかになった。

 MasterCard Internationalの広報担当、Jessica Antleは、過去最大規模と見られるクレジットカード情報流出事件が発生した理由について、侵入者がソフトウェアのセキュリティ上の脆弱性を利用して、米アトランタに拠点を置く支払いデータ処理業者CardSystems Solutionsのネットワークに悪質なプログラムをインストールしたためと説明している。Antleによると、侵入者はこのプログラムを使ってクレジットカードのデータを盗んだという。

 Cybertrustのセキュリティの専門家らは、CardSystemsのネットワークのセキュリティを調査した結果、このプログラムを発見した。この調査はMasterCardからの要請で行われた。MasterCardでは、いくつかの銀行からカードの不正使用に関する報告を受けて異常に気付き、原因を調査した結果、CardSystemsに行き着いたという。

 また、Cybertrustによる調査の結果、CardSystemsはMasterCardのセキュリティに関する規則を遵守していなかった事実も明らかになった。Antleによると、CardSystemsは本来破棄すべき記録を保有し続け、さらに取引データを暗号化せずに保存していたという。

 MasterCardはFBIが捜査中であることを理由に、データ流出に関するそれ以上の情報の発表を差し控えた。CardSystemsにもメールや電話でコメントを求めたが、回答は得られなかった。またCybertrustの広報担当もこの件についてのコメントを控えた。

 一方、インターネットの掲示板では、CardSystemsが使用していた脆弱性のあるソフトウェアの種類について、様々な憶測が飛び交っている。CardSystemsのウェブサイトはMicrosoftのWindows 2000オペレーティングシステムとIIS Server 5.0上で運営されていることから、他のソフトもMicrosoft製ではないかとの憶測が高まっている。

 CardSystemsが17日に明らかにしたところによると、同社は5月22日時点で「セキュリティが破られた可能性」に気付き、翌日FBIに通報し、さらにVisaやMasterCardにも連絡したという。Antleはこの点について、MasterCardが17日までCardSystemsでの情報流出を発表しなかったのは、発表前に影響を受けたすべての口座を確認していたためと説明した。

 今回の事件により、4000万件以上のクレジットカード情報が流出した。VisaとMasterCardによると、流出した情報のうち2200万件がVisaカード関連で、1390万件がMasterCard関連だという。残りは、American Express やDiscoverといった他のカードに関する情報だった。

 Antleによると、数百万件の口座が攻撃者に不正アクセスされた可能性があったが、その後の調査で、CardSystemsのネットワークの外に持ち出されたカード記録はおよそ20万件で、そのうちMasterCardに関する記録は6万8000件であることが分かった。

 犯人は、盗んだ氏名、口座番号、暗証番号を使ってカードを不正に使用する可能性がある。しかし、盗まれた情報には、ID窃盗に必要な社会保障番号、住所、誕生日は含まれていない。

 CardSystemsのウェブサイトによると、同社は電子取引の決済処理を行なう企業で、毎年10万5000社以上の中小企業のカード取引を処理し、処理額の年間総額は150億ドルを上回るという。

 大手クレジットカード会社はいずれも、顧客の口座を使った不正な取引が行なわれないように保護手段を講じている。一般に不正な取引は無効となる。カード所有者はオンライン上で自分の口座を監視し、不正に使用された疑いがある場合はクレジットカード会社かカードを発行している銀行に連絡すべきだ、と専門家らは警告している。

 米国の最大手クレジットカード発行会社の1社であるMBNAは、CardSystemsから流出した顧客の口座情報を直接入手したという。MBNAの広報担当、Jim Donahueによると、同社はデータ流出の被害にあった個々の顧客には連絡しないが、今後それらの口座の監視を続けるという。仮に不正使用が発覚した場合、MBNAはその口座を閉鎖し、新しいカードを発行するとDonahueは述べている。

 American Expressは依然として、顧客に連絡を取るべきか否か決めかねている。同社の広報担当、Christine Elliottは、口座情報が流出した事実は認めたものの、被害にあった口座の具体的な数は明らかにしなかった。

この記事は海外CNET Networks発のニュースを編集部が日本向 けに編集したものです。海外CNET Networksの記事へ

  • このエントリーをはてなブックマークに追加
関連キーワード
セキュリティ

関連ホワイトペーパー

SpecialPR

  • デジタル変革か?ゲームセットか?

    デジタルを駆使する破壊的なプレーヤーの出現、既存のビジネスモデルで競争力を持つ
    プレイヤーはデジタル活用による変革が迫られている。これを読めばデジタル変革の全体像がわかる!

  • ビジネスの継続的な成長を促す新たなITのビジョン

    多くの企業においてITに求められる役割が、「守り」のコスト削減から「攻め」のビジネス貢献へとシフトしつつある。その中でIBMが提唱する新たなビジョンEnterprise Hybrid ITとは?

連載

CIO
研究現場から見たAI
ITは「ひみつ道具」の夢を見る
内製化とユーザー体験の関係
米ZDNet編集長Larryの独り言
今週の明言
「プロジェクトマネジメント」の解き方
田中克己「2020年のIT企業」
松岡功「一言もの申す」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
Fintechの正体
内山悟志「IT部門はどこに向かうのか」
情報通信技術の新しい使い方
三国大洋のスクラップブック
大河原克行のエンプラ徒然
コミュニケーション
情報系システム最適化
モバイル
通信のゆくえを追う
セキュリティ
セキュリティの論点
ネットワークセキュリティ
スペシャル
座談会@ZDNet
Dr.津田のクラウドトップガン対談
CSIRT座談会--バンダイナムコや大成建設、DeNAに聞く
創造的破壊を--次世代SIer座談会
企業決算を追う
「SD-WAN」の現在
展望2017
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
HPE Discover
Oracle OpenWorld
Dell EMC World
AWS re:Invent
PTC LiveWorx
古賀政純「Dockerがもたらすビジネス変革」
さとうなおきの「週刊Azureなう」
誰もが開発者になる時代 ~業務システム開発の現場を行く~
中国ビジネス四方山話
より賢く活用するためのOSS最新動向
「Windows 10」法人導入の手引き
Windows Server 2003サポート終了へ秒読み
米株式動向
実践ビッグデータ
日本株展望
ベトナムでビジネス
アジアのIT
10の事情
エンタープライズトレンド
クラウドと仮想化