［米国］
小売業者のセキュリティ対策にあらためて疑問符――TJXでクレジットカード情報が流出のおそれ

（2007年01月22日）

　小売大手の米国TJXカンパニーズは先週、大規模なセキュリティ侵害によってクレジットカードおよびデビットカードのデータが流出した可能性があると発表した。この事件は、クレジットカード会社が小売業者にデータ保護対策を強化するよう求めているにもかかわらず、一部の小売業者では依然としてITセキュリティが脆弱であることを示している。

　TJマックスやマーシャルズなどの小売りチェーンを持つTJXは、「不正な侵入者」が昨年12月中旬に同社のシステムにアクセスし、米国、カナダ、プエルトリコのほか、英国やアイルランドの顧客のカード・データを盗み出した可能性があることを明らかにした。同社は、このセキュリティ侵害の影響を受けた可能性のある顧客の数を公表しておらず、データ盗難の規模は「不明」としている。

　TJXはこの事件の発生後、データ流出規模の調査とセキュリティ対策を強化するため、IBMとゼネラル・ダイナミクスを雇ったという。

　アラバマ・クレジット・ユニオンの融資担当バイスプレジデント、ベンソン・ボーリング氏は、「盗まれた情報の一部は、クレジットカードおよびデビットカードの裏面の磁気ストリップから読み取ることのできる、いわゆるトラック2データのようだ」と語っている。

　同信用組合は現在、約2,900枚に及ぶデビットカードおよびクレジットカードの回収と交換を行っている。ビザUSAから先週、「トラック2データを含むカード情報が小売業者から漏洩したおそれがある」という複数の通知を受けたためだ。これらの通知を受けた際、その小売業者の名前は明らかにされなかったという。

　トラック2データには、口座番号や有効期限、暗号化された個人識別番号が含まれているほか、カード発行銀行が選択した任意の情報が含まれる場合もある。これらの情報については、ビザ・インターナショナルやマスターカード、その他のクレジットカード会社が推進する「Payment Card Industry（PCI）Data Security Standard」の下、小売業者側で保存することが禁じられている。しかし、いまだに多くの小売業者がこうした情報を保存し続けているというのが実情だ。POSシステムがそれらをデフォルトで取得し、保存するようになっているためである。

対策強化が急務

　「TJXで発生したセキュリティ侵害は、トラック2データをシステムから除去することがきわめて重要である理由を示している」と、PCI規格順守支援サービスを提供するプロテグリティのデータ・セキュリティ戦略担当バイスプレジデント、デビッド・テーラー氏は語る。同氏はさらに、「この事件は、PCI規格で要求されているもう1つのステップ、すなわち機密データ暗号化の重要性も浮き彫りにした」と述べている。

　今回の事件を受け、PCI要件への対応を小売業者に促す取り組みが急務となりそうだ。ガートナーのアナリストであるアビバ・ライタン氏によると、PCI規格が施行されたのは18カ月前だが、これまでのところ、同規格の分類におけるレベル1の小売業者（1カ月に600万件以上のクレジットカード取引を扱う業者）のうち、PCIに完全に対応しているのは50％程度にとどまっているという。

　「TJXはレベル1の小売業者であり、さまざまな小売りチェーンを通じて扱う取引件数の多さから言えば、カード処理事業者とも見なせるかもしれない。仮にカード処理事業者と見なされれば、さらに厳格なセキュリティ要件を満たすことが求められ、クレジットカード会社はTJXに厳しい姿勢を示すだろう」（ライタン氏）

　一方、カード発行銀行はカード情報の窃盗者にとっての価値を低くする方法を検討しなければならないと、ライタン氏は指摘する。例えば、取り引きが処理される際の認証をより強力なものにするという手があるという。また、クレジットカードやデビットカードの使用時に、ワンタイム・パスワードを要求するというアプローチも考えられる。

　「これらの措置を講じるために必要な技術はすでに利用可能になっており、かなり簡単に実装できる。だが、こうした措置を導入しているカード発行銀行はほとんどないようだ」（同氏）

　ライタン氏をはじめとする多くのアナリストは、こうした措置を講じることの重要性は日増しに大きくなっていると指摘する。最近では、盗まれたカード情報がすぐに流通するケースも少なくないからだ。

　フェア・アイザックの詐欺調査担当者、ジョン・バザード氏によると、セキュリティ侵害で盗み出された情報が24時間以内に悪用される場合もあるという。「データ窃盗者は通常、“ダンプ・チェック”を行い、盗んだカード情報が有効かどうかをチェックした後、その情報を1件当たり25ドル程度で販売するか、その情報を使って多額の買い物を数回するか、あるいは現金を引き出す」と同氏は説明する。

　カード情報の不正利用を防ぐため、カード発行者は取り引きの処理時に、氏名やカード番号、有効期限などのデータが、記録されている情報と一致するかどうかを確認するという方策を実施しなければならないと、バザード氏は語る。同氏は、すでに「かなりの割合」の発行者がこうした認証を行っているが、すべての発行者が行っているわけではないと見ている。

　プロテグリティのテーラー氏は、クレジットカードおよびデビットカード取引で強力かつ包括的な認証をクレジット発行銀行が実施すれば、これらのカードが不正利用されるリスクは減る可能性が高いと述べるとともに、こう付け加えた。

　「もう1つ強調するに値することがある。それは、顧客データは小売業者の手の中にあり、彼らはその責任を引き受けなければならないということだ」

(ジャイクマール・ビジャヤン／Computerworld オンライン米国版)