ITmedia NEWS > 速報 >

カード情報大量流出、決済処理会社の記録保存に問題

» 2005年06月21日 07時17分 公開
[IDG Japan]
IDG

 約4000万件のクレジットカード番号が流出した事件で、数週間前にサードパーティーの決済処理会社CardSystemsから盗まれた記録は、本来なら同社で保存してはならないものだったと、同社のCEOがNew York Times紙に語った。

 同紙によれば、事件は4月半ば、MasterCard Internationalが不正利用の異常な増大に気づいたことが発端となって発覚した。盗まれた記録は、流出した疑いのある4000万件のうち20万件を含め、「研究目的」でCardSystemsのコンピュータファイルに保存してあったと、CEOのジョン・ペリー氏は同紙に語っている。

 同紙はペリー氏の発言として次のように伝えている。「これはやってはならないことだった。しかし既に修正済みだ」。同社は今では重要データをファイルに保存していないと同氏。記録を保存したのは、一部取引が許可されなかったり完了できない理由を究明するためだったという。

 MasterCardは6月17日にこの事件について公表、米アリゾナ州にあるCardSystemsの業務センターから情報が流出したことを明らかにした。MasterCardで調査に乗り出すとともに、米連邦捜査局(FBI)でも捜査に当たっている。CardSystemsの談話によれば、FBIには5月23日に通報した。

 MasterCardからもCardSystemsからもコメントは取れなかった。CardSystemsのWebサイトによれば、同社は年間10万5000社以上の中小企業から決済処理の委託を受けるとともに、MasterCard、Visa、Discover、American Expressおよびオンラインデビットの決済150億ドル以上を処理している。

 一方、セキュリティベンダーのSecure Computingは、この事件が発覚して以来初めて、電子メールの件名でMasterCardを使ったフィッシング詐欺を検出。この詐欺メールは急いだあまり流出事件については触れておらず、過去の詐欺メールが再び出回っている可能性もある。しかしSecure Computingでは、詐欺メールは今後も続くと予想、手口も高度化して件名や本文でこのビッグニュースに触れたものが出回ると予想している。

 Times紙が伝えたところでは、盗まれたデータは暗号化されておらず、クレジットカード各社は声明の中で、CardSystemsが適切なセキュリティ上の義務に従っていなかったと指摘している。

Copyright(C) IDG Japan, Inc. All Rights Reserved.