盗まれた個人情報は過去最大規模――小売大手TJXのクレジットカード番号盗難事件
侵入されたシステムにはデータ改竄の形跡も小売大手の米国TJXカンパニーズは、3月28日に発表した会計報告の中で、大規模な個人情報盗難事件の詳細を明らかにした。2005年に4,560万件ものクレジットカード/デビットカード番号が盗まれたのに続き、2006年にも13万件の番号が盗まれ、しかもこれらの情報を盗み出したとされるハッカーは、今も逮捕されていないという。
電子商取引関連のセキュリティに詳しいガートナーのセキュリティ専門家、アビバ・リタン氏は、「盗まれたデータの量を見るかぎり、TJXの事件は過去最大規模のカード情報盗難事件になる可能性が高い」と指摘する。
TJXは、12万5,000人の従業員を擁し、TJマックスなど数百の小売店舗を米国と英国で展開している。同社は今年初め、昨年12月時点で自社のコンピュータ・システムに「疑わしいソフト」があることが判明したため、法執行機関に連絡したと発表した。
TJXが米国証券取引委員会(SEC)に提出した文書によると、同社は昨年12月以降、司法省やシークレット・サービス、連邦検事ボストン事務所が行っている犯罪捜査に協力してきた。また、カリフォルニア州司法長官事務所やカナダの地方プライバシー検査官、英国の情報検査官、ロンドン市警などにも情報を提供しているという。
その後、フロリダ州の法執行機関が、事件にかかわったと見られる4人の容疑者を特定した。しかしリタン氏は、この4人が首謀者である可能性は低いと見ている。同氏は「経験に基づく推測」と断ったうえで、犯罪の痕跡をたどっていくと、東ヨーロッパの組織犯罪集団に行き当たるのではないかとの見方を示している。
「組織的な犯罪集団は、偽造行為といった犯罪の実行役としてコカイン中毒者などを使うことが多い」(リタン氏)
リタン氏は、保護されていない無線LANから侵入したハッカーが、TJXのネットワークに抜け道を作って経理担当者のシステムに入り込み、TJXのネットワーク内を動き回ってカード情報を盗み出したという情報提供者の見方を紹介した。同氏は、データ捕捉専用のプログラムが使われた可能性を指摘したが、これもあくまで経験に基づいた推測だとしている。
一方、TJXはSECへの提出文書の中で、「コンピュータ・システムへの不正侵入が露見する前に、盗まれたと考えられる多くのファイルを、通常の業務の手続きに従って不用意に削除してしまった可能性がある」と説明。さらに、「侵入者が用いた何らかの技術が原因で、2006年に盗まれたと考えられる大半のファイルの内容を現時点で判断することは不可能」と弁明した。
そのうえで、TJXは「独自の調査を通じて、盗まれた情報の特定作業を行っているが、盗まれたと考えられる情報の多くを特定することは、事実上不可能と思われる」と述べている。
TJXのこの説明は、ハッカーがTJXのデータを暗号化、あるいは改竄した可能性を示唆している。ただし、同社からは、この説明内容を補足するようなコメントは得られていない。
TJXは、今回の侵入事件に関連する支出が500万ドルになるとの見通しを示しているが、これまでのところ顧客の間に動揺は見られないと説明している。同社の2007会計年度の総売上げは174億ドルで、前年に比べ9%伸びているという。
リタン氏は、「TJXの事件により、カード支払い手続きに使用されているネットワークがいかに無防備かが明らかになった」と語った。また、より強力なカード認証機能を導入する必要性も明白になったとして、とりわけ銀行などは早急に取り組むべきだと主張している。
今回の事件は、盗まれた情報が非常に多いことから今後も大規模な捜査が行われると見られており、連邦取引委員会なども調査に乗り出している。
(エレン・メスマー/Network World オンライン米国版)
