史上空前の個人情報流出が米国で発覚しました。
米で史上空前の情報流出--4000万件のクレジットカードに影響か:セキュリティ - ZDNet Japan コメントを見る
MasterCard Internationalは米国時間17日、4000万件を超えるクレジットカード情報が盗まれた可能性があると発表した。
流出元はカード取引の決済を受託して行っているCardSystemsと言う会社から(同社のプレスリリースはこちら)。
米クレジットカード情報流出事件の詳細が明らかに:セキュリティ - ZDNet Japan コメントを見る
MasterCard Internationalの広報担当、Jessica Antleは、過去最大規模と見られるクレジットカード情報流出事件が発生した理由について、侵入者がソフトウェアのセキュリティ上の脆弱性を利用して、米アトランタに拠点を置く支払いデータ処理業者CardSystems Solutionsのネットワークに悪質なプログラムをインストールしたためと説明している。
CardSystem社のシステムに何者かが不正なプログラム(おそらくトロイの木馬)を仕掛け、同社のDBに侵入した模様。また、同社が、"調査目的"でマスターカードの規定に反する形で顧客データを保存していたことも明らかになりました。既にセキュリティ監査を受け、このプログラムを特定、除去したとのこと。

AlexaによるTraffic infoを見ると、事件発覚後にCardSystems.comへのリーチが急増しており、影響の大きさを伺わせる。

このニュースを知ったとき、ちょうど実家にいたのですが、親父が「こういう事があるからインターネットでカードを使うのは怖い。」と呟いたのですが・・・リアル・ネットに関わらず決済処理を行う会社が狙われたわけですから、インターネット取引とは関係なく、等しく不正利用の脅威にさらされる訳ですな。

日本での影響は?

米カード情報流出事件--国内提携カード各社が影響と対応策を発表:ニュース - CNET Japan コメントを見る
なお、今回流出したカード情報は、米国の支払いデータ処理業者CardSystems Solutionsに業務を委託している海外加盟店で利用されたクレジットカードの情報であり、日本国内の加盟店でのみカードを利用している場合は情報流出の心配はない。
とありますが、例えばネット通販会社なんかがどこで決済処理しているかなんかは分からないわけで、あまり慰めにならないですな。実際、既にUFJカードの不正利用などが報道されており、VISAカードを二枚所有する俺としても油断ならない。

また、その後JCBでも流出が確認された

しかし、情報流失した場合、カードを新規で発行しますって言われても、ISPや公共料金をカードで払っている場合その手続きが面倒だよなあ。

不正侵入の手口

ITmediaニュース:「4000万人分カード情報流出」も――標的を絞ったハッカー攻撃が主流に コメントを見る
セキュリティ専門家によれば、最近のサイバー犯罪では、世界中にインターネットウイルス攻撃を一斉に仕掛けるよりも、一度に1社か2社に狙いを定め、利益につながる可能性の高い、よりフォーカスを絞った攻撃を仕掛けるパターンが増えている。
Zdnetによると、今回のクラッキングが判明したのは、Mastercard社が不正利用の報告が急増したことを受けて調査し、CardSystems社に行き着いたという。言い替えれば、それまでCardSystems社では全く気が付いていなかったと言うことか。

また、FBIが調査中であることから、詳細は明らかにされていない。

CardSystems社のサイトがWindows 2000とIISで運用されていることから、他のシステムも同様にWindowsが利用されているのでは?と言う推測も。

Lax Security Cited in Massive Credit Card Data Theft - Netcraft コメントを見る

価格コムの事件でもそうだが、既にクラッキングは組織犯罪の一部となっているのだろう。かつてのウイルス等は、広く拡散させることを目的とした愉快犯が多かったのだが、そういったイメージは既に過去のものという認識が必要なのだろう。その結果、知られていない悪質なソフト(マルウェア)が入り込む事例が増大されることが予測される。そういった悪質なソフトは標準的なウイルス対策ソフト・スパイウェア対策ソフトでは検知できないことが予想される。今後はより多角的な対策が求められると同時に、ツールに頼ったセキュリティからの脱却が必要なのだろう。

"失った信用 プライスレス"

しかし、今回の事件ではVisa及びMasterCardの対応は、驚くほど鈍かった印象を受けた。当事者意識が希薄なんだろうか?

流石に、価格コムのように"過失はない。補償は行わない"と言うわけにはいかないだろう。特に、CardSystems社はやばいんじゃなかろうか。

火車 この事件の詳細を追っていって、思い出したのが、宮部みゆき著「火車」
学生時代に読んだので記憶が曖昧だが、確か、個人情報を管理しているコンピュータではなく、申込用紙から抜き取っていたと言う記述があった。
今後は、自社管理の個人情報のみならず、関連する業務委託先等も気を配らないといけないのだろう。

ところで、例えば日本企業が米国や或いは中国、インドなどにそういった業務をアウトソーシングしていて、委託先で流出が起きた場合、適用される法はどこのものになるのだろう?