2017年9月26日〜10月12日にかけて、Delta Air Linesから航空券を、SearsからDIY工具を、Kmartから家庭用品をオンラインで購入した顧客は、名前、住所、クレジットカード番号がその企業のウェブサイトで露呈されてしまった可能性がある。Best Buyも影響を受けた可能性について発表している。
これまでに明らかになっているのは、こうした企業の社内データベースが実際に侵害されたわけではないことだ。それら企業のオンラインチャットサービスに一時的に潜んでいたマルウェアが、取引終了後に決済情報を取得していた可能性があるという。このチャットサービスは、[24]7.aiによるものだ。
オンラインチャットを利用していなくても、影響を受けた可能性がある。Deltaの広報担当者が米CNETに語ったところによると、「9月26日〜10月17日の間に、delta.comに決済データを入力した顧客はすべて、個人情報にアクセスされた可能性がある」という。
Deltaが掲載したFAQは、数十万人におよぶ顧客データが危険な状態にあった可能性があると述べている。Kmartを所有するSears Holdingsは、影響を受けた顧客の数を10万人未満だと見積もっている。
被害がほかの企業にも及んでいるかは不明だ。チャットプラットフォームを提供する[24]7.aiは、2018年1月時点で、サービスを提供するかもしれない顧客として、American Express、AT&T、Best Buy、Citi、eBay、Farmers Insurance、Hiltonなどを挙げていた。[24]7.aiの広報担当者は機密保持契約を理由に、コメントを控えた。
しかし、[24]7.aiはプレスリリースで、「影響を受けたのは当社のごく少数の法人顧客」で、この脆弱性は2017年10月12日に修正済みだと述べている。[24]7.aiとDeltaの両社は、現時点で個人情報が実際に盗まれた兆候があるとはしておらず、盗まれた可能性があるとだけ述べている。
セキュリティ侵害の通知を受けたのは、Deltaが3月28日で、Searsは3月中旬だという。
Deltaによると、顧客はクレジットカードの不正使用について責任を負う必要がなく、クレジットモニタリングのサービスを無料で利用できる。またSears Holdingsは、SearsとKmartでのセキュリティ侵害について、同社のウェブサイトで最新情報を提供する。
提供:Delta
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。