米国でクレジットカードの支払いデータ処理業者のネットワークに何者かが侵入し、4000万件以上のクレジットカード口座が不正に使用される危険にさらされた事件で、20日にさらなる詳細が明らかになった。
MasterCard Internationalの広報担当、Jessica Antleは、過去最大規模と見られるクレジットカード情報流出事件が発生した理由について、侵入者がソフトウェアのセキュリティ上の脆弱性を利用して、米アトランタに拠点を置く支払いデータ処理業者CardSystems Solutionsのネットワークに悪質なプログラムをインストールしたためと説明している。Antleによると、侵入者はこのプログラムを使ってクレジットカードのデータを盗んだという。
Cybertrustのセキュリティの専門家らは、CardSystemsのネットワークのセキュリティを調査した結果、このプログラムを発見した。この調査はMasterCardからの要請で行われた。MasterCardでは、いくつかの銀行からカードの不正使用に関する報告を受けて異常に気付き、原因を調査した結果、CardSystemsに行き着いたという。
また、Cybertrustによる調査の結果、CardSystemsはMasterCardのセキュリティに関する規則を遵守していなかった事実も明らかになった。Antleによると、CardSystemsは本来破棄すべき記録を保有し続け、さらに取引データを暗号化せずに保存していたという。
MasterCardはFBIが捜査中であることを理由に、データ流出に関するそれ以上の情報の発表を差し控えた。CardSystemsにもメールや電話でコメントを求めたが、回答は得られなかった。またCybertrustの広報担当もこの件についてのコメントを控えた。
一方、インターネットの掲示板では、CardSystemsが使用していた脆弱性のあるソフトウェアの種類について、様々な憶測が飛び交っている。CardSystemsのウェブサイトはMicrosoftのWindows 2000オペレーティングシステムとIIS Server 5.0上で運営されていることから、他のソフトもMicrosoft製ではないかとの憶測が高まっている。
CardSystemsが17日に明らかにしたところによると、同社は5月22日時点で「セキュリティが破られた可能性」に気付き、翌日FBIに通報し、さらにVisaやMasterCardにも連絡したという。Antleはこの点について、MasterCardが17日までCardSystemsでの情報流出を発表しなかったのは、発表前に影響を受けたすべての口座を確認していたためと説明した。
今回の事件により、4000万件以上のクレジットカード情報が流出した。VisaとMasterCardによると、流出した情報のうち2200万件がVisaカード関連で、1390万件がMasterCard関連だという。残りは、American Express やDiscoverといった他のカードに関する情報だった。
Antleによると、数百万件の口座が攻撃者に不正アクセスされた可能性があったが、その後の調査で、CardSystemsのネットワークの外に持ち出されたカード記録はおよそ20万件で、そのうちMasterCardに関する記録は6万8000件であることが分かった。
犯人は、盗んだ氏名、口座番号、暗証番号を使ってカードを不正に使用する可能性がある。しかし、盗まれた情報には、ID窃盗に必要な社会保障番号、住所、誕生日は含まれていない。
CardSystemsのウェブサイトによると、同社は電子取引の決済処理を行なう企業で、毎年10万5000社以上の中小企業のカード取引を処理し、処理額の年間総額は150億ドルを上回るという。
大手クレジットカード会社はいずれも、顧客の口座を使った不正な取引が行なわれないように保護手段を講じている。一般に不正な取引は無効となる。カード所有者はオンライン上で自分の口座を監視し、不正に使用された疑いがある場合はクレジットカード会社かカードを発行している銀行に連絡すべきだ、と専門家らは警告している。
米国の最大手クレジットカード発行会社の1社であるMBNAは、CardSystemsから流出した顧客の口座情報を直接入手したという。MBNAの広報担当、Jim Donahueによると、同社はデータ流出の被害にあった個々の顧客には連絡しないが、今後それらの口座の監視を続けるという。仮に不正使用が発覚した場合、MBNAはその口座を閉鎖し、新しいカードを発行するとDonahueは述べている。
American Expressは依然として、顧客に連絡を取るべきか否か決めかねている。同社の広報担当、Christine Elliottは、口座情報が流出した事実は認めたものの、被害にあった口座の具体的な数は明らかにしなかった。
この記事は海外CNET Networks発のニュースを編集部が日本向 けに編集したものです。海外CNET Networksの記事へ
CNET Japanの記事を毎朝メールでまとめ読み(無料)
地味ながら負荷の高い議事録作成作業に衝撃
使って納得「自動議事録作成マシン」の実力
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」