米小売大手の2200店舗からカード情報流出か、被害規模は数千万件

ホームセンター大手のHome Depotが米国内で展開しているほぼ全店からクレジットカード情報が流出した可能性があるという。

[鈴木聖子，ITmedia]

情報流出を明らかにしたHome Depot

　米ホームセンター大手のHome Depotは9月3日、顧客が使ったクレジットカードなどの決済情報が流出した可能性があることが分かり、捜査当局などに通報して調査に乗り出したと発表した。

　Home DepotのWebサイトに掲載された情報によると、決済情報の流出をうかがわせる不審な挙動について、金融機関や捜査当局と連携して調査を進めているという。

　流出が確認されれば直ちに顧客に連絡すると同社は述べ、その場合、もしクレジットカードなどが不正利用されたとしても、被害額はカードを発行した金融機関かHome Depotが負担すると説明した。

　これに先立ち、セキュリティ情報サイトの米Krebs on Securityは複数の銀行から得た情報として、Home Depotから盗まれたとみられるクレジットカードやデビットカードの情報が9月2日にアンダーグラウンドで売りに出されたと伝えていた。

　情報は2014年4月下旬から5月上旬ごろにかけ、Home Depotが米国内で展開している2200店舗のほぼ全店から流出した可能性があるという。

　アンダーグラウンドで売りに出されたカード情報の郵便番号と、Home Depotのチェーン店の郵便番号を照合したところ、99.4％の確率で一致したとKrebs on Securityは伝えている。

　米国では小売大手のTargetでも2013年末にクレジットカード情報が大量に流出する事件が発生している。Targetの場合、約3週間で1800店から4000万枚あまりのカード情報が盗まれており、Home Depotの被害規模はTargetをはるかに上回るかもしれないとKrebs on Securityは推定する。

　小売店からの情報流出を巡っては、POSシステムを狙うマルウェアが相当数の企業のネットワークに感染を広げているとして、US-CERTなどが注意を呼び掛けていた。実際に米物流大手のUPSや小売チェーン、病院チェーンなどで相次いで情報流出の被害が発覚している。