米Targetの大規模情報流出、侵入経路は空調業者か

攻撃者はTargetへの侵入経路に、空調管理システムを提供していた業者を踏み台にした可能性が高いという。業者は「セキュリティを順守している」と反論した。

[ITmedia]

　米小売り大手のTargetから大量のクレジットカード情報が流出した事件で、攻撃者はTargetのシステムへ侵入するために、Targetに空調機器システムを提供していた業者を経由した可能性が高いという。米紙Wall Street Journal（WSJ）やセキュリティ情報サイト「Krebs on Security」などが報じた。

　それによると、この業者は冷凍空調機器システムを手掛けるペンシルバニア州のFazio Mechanical Services。Krebsは1月29日に、Targetの社内ネットワークで使われていたIT管理ソフトが攻撃に利用された可能性があると伝えた。このIT管理ソフトに対する不正アクセスの経路として、Fazioのシステムが踏み台にされた可能性があるという。

攻撃者の侵入経路とされたFazio Mechanical Services

　米メディアは、捜査当局がFazio Mechanical Servicesを含む複数の業者を調査していると報道。一般的に、店舗などの設備管理システムのネットワークと顧客情報管理システムのネットワークは切り離されているケースが多いものの、Targertでは何らかの理由でそれぞれのネットワークが接続され、攻撃者は容易が侵入できたようだと分析している。

　こうした報道に対し、Fazio Mechanical Servicesは声明を発表。捜査当局に協力していることから詳細は明かせないとしつつ、（1）Targetの空調管理システムを遠隔から監視、制御はしていない、（2）Targetとは電子決済や契約管理などにおいてデータ接続をしていたが、同社はわれわれにとって顧客の1社であり、他の企業顧客には影響がない、（3）われわれのITシステムは業界標準のセキュリティを順守している――と強調。「当社もTargetと同じく巧妙なサイバー攻撃の被害者であり、捜査当局への協力を通じてセキュリティの向上に貢献したい」とコメントしている。

　なお、Targetは4日にICチップ型のスマートカードの導入を加速すると発表。同社は「カード詐欺などの脅威から顧客を保護するために、全米1800店舗でスマートカードとカードリーダーを設置していく」と説明した。

Targetのプレス発表