4000万件に及ぶカード情報、7000万件の個人情報がハッキングされた米Targetの事件。米国では、その語も様々な報道が続いている。国内でも、2014年7月9日に、ベネッセホールディングスが最大2070万件の顧客情報流出を発表した。他山の石とするべく、Target事件の経緯を改めてまとめておきたい。事件から学べることが多々あるからだ。
60ドルを超えていた株価は一時、55ドルに下落。名物CEOは退任し、損害賠償に要する費用は今なお明らかではない−−。2013年のクリスマス商戦において、米国3位の大手GMS(General Merchandising Store:総合スーパー)であるTarget(ターゲット)で起きたクレジットカード番号の流出事件の現時点での結末である(図1)。
図1:米Targetの株価推移(米Yahoo Financeから)拡大画像表示
2013末に事件が明らかになった時点では、日本でも報道がなされた。だが、様々な事件や事故、あるいは話題が頻出する中で、同社の事件は忘れさられがちだ。しかし、情報セキュリティがITマターではなく、経営マターであることを、まざまざと見せつけた点で、Taegetの事件は当然、他人事ではあり得ない。
事件の概要
Targetは、北米に1916店舗を展開するGMS大手(米国内に1789店、カナダに127店)。2013年のクリスマス商戦前、正体不明のハッカーにクレジットカードの番号を盗むように設計されたマルウェアを仕掛けられた。
その結果、11月27日から12月15日にかけて店頭で使用された4000万件に及ぶクレジットカードとデビットカードの番号が盗まれた(Webサイトは含まれていない)。そこから7000万件に及ぶ買い物客の氏名や住所、メールアドレス、電話番号の記録も漏洩した。
Targetのセキュリティ策と課題
同社が、大した対策を取っていなかったわけではないようだ。むしろ多数のカードを扱う大手GMSとして様々な手を打っていた。未知の攻撃やマルウェアを検出できるセキュリティ製品「FireEye」の導入や、シマンテックの「エンドポイントプロテクション」の全社展開である。カード業界におけるセキュリティ標準である「PCI DSS(Payment Card Industry Data Security Standard)」の認定も2013年9月に取得している。
実際、FireEyeは11月30日にはアラート(警告)を出し始め、12月に入るとより強いアラートを発していたという。しかし、なぜかTargetのセキュリティ部門はそれを無視した。FireEyeが備える、自動でマルウェアを削除する機能もオフになっていた。
Targetは、同ツールを4月頃に導入。1カ月間の試験運用を経て本番環境に適用している。その際に何らかの運用上の課題から、自動削除機能をオフにした可能性がある(関連記事)。
一方、マルウェアそのものは必ずしも高度なものではなかった模様だ。ただしデータセンターの運用管理ツールである「BladeLogic」に偽装していたとされている。
なおTargetにはCSO(Chief Security Officer)やCISO(Chief Information Security Officer)に相当するセキュリティの最高責任者は置かれていなかったという。Targetの社内サイトに対する最初の侵入には、同社の取引先から盗まれた資格情報が使用されている。
犯人像は?
犯人(犯罪組織)は今も明らかになっていない。ただしマルウェアのコード解析から「Rescator」という、盗難クレジットカードを扱う“ダークネット”が浮かび上がっている。地理的拠点をたぐっていくと、ウクライナのオデッサに辿り着く。ロシア語を話す150人のハッカーが集積した、デジタル犯罪のシンジケート「CarderPlanet」があった場所だ。
CarderPlanetは2004年に閉鎖されている。だが結局、地下に潜っただけ。マルウェアの開発や、犯行の準備と実行、得たデータの換金などが専門化・分業化され、高度化しているのは推察できる通りである。
損害と事後対策など
2013年末の商戦を含む同年4半期のTargetの利益は前年比46%も落ち込んだ(売り上げの落ち込みは5%程度)。2014年2月以降、対策に6100万ドルを費やした。Targetとクレジットカードのセキュリティ会社であるTrustwaveに対しては、米国の2つの銀行が訴訟を起こしている。詐欺被害とカードの再発行にかかる費用10億ドル以上を求めてのことだ。なお銀行がカード再発行などに要する費用は最大2億ドルと見込まれている(関連記事)。
ただしTrustwaveのCEOは、「Taegetからセキュリティに関するアウトソースは受託していないし、ネットワーク監視もしていない」と述べている。一方、2008年からTargetのCEOを務めてきた Gregg Steinhafel氏は、2014年5月に辞任を表明した。
図2:TargetのFAQ拡大画像表示
Targetは今後、安全性を高めるために、2015年の早い段階を目指し、ICチップ内蔵のスマートカードへ切り替えていく。投資額は1億ドル。カナダでは同カードにより、2008年から2012年の間にスキミングの被害が72%減少した。それに先立ち決済端末を9月までに導入する。TargetはWebサイトに情報漏洩に関するFAQを掲載している(図2)。
