オンライン決済サービスで短時間に大量の不正決済

　4月第1週の週末、オンライン決済サービスのAuthorize.Net（本社：ユタ州アメリカンフォーク）を通じてクレジットカードの決済を行っていた複数のウェブホスティング会社で、短時間に大量のカード決済が集中するという事態が発生した。決済の大部分は500ドルから700ドルほどの金額のもので、請求先はVisa、MasterCard、American Expressなど各カード会社にわたり、カード所有者の住所は、全米各地にまたがっていると、CNET News.comの取材に応じた3社のウェブホスティング会社は語った。

　Authorize.Netの広報担当者David Schwartz氏は、「これを企てた犯人たちは、非常に正確なデータを手に入れており、当社のプラットフォームを利用している小売業者のウェブサイトからそのデータを送信した」と語った。同社のオンライン決済サービスを利用している小売業者は13万を超えるという。

　ウェブホスティング各社は、決済ごとにAuthorize.Netから送付される確認の電子メールで異常に気づいた。CNET News.comが取材した3社の契約小売業者のアカウントのものだけで、疑わしい決済は3000件近くに及んでおり、他のホスティング会社でも同様の事態が起こっている可能性が高いと、これら3社では見ている。

　しかし、決済処理プロセスのどこに脆弱性があったのかはわかっていない。問題は支払い処理の段階にあるのか、それともウェブホスティング会社側にあるのか。また、犯人が不正決済に使用したカード情報をどこで入手したのかも不明だ。

　バージニア州アシュバーンに本拠を置くウェブホスティング会社Defender Technologies Groupの最高経営責任者（CEO）であるTom Kiblin氏によると、犯人は米国時間4月2日の午前中、約1時間半にわたり、Authorize.Netにある同社のアカウントを通じて1500件近い決済を行ったという。同氏は「当社のアカウントを介した総額は、100万ドル弱にのぼった」と語り、すでにこの件を米財務省検察局（シークレットサービス）に報告したと述べた。