ITmedia NEWS >
ニュース
» 2005年12月16日 11時05分 UPDATE

Sam's Clubのカード情報流出は「スキミング」が原因か

犯人はガソリンポンプのカードリーダーをスキミング装置とすり替えてクレジットカードデータを盗んだのではないか――被害者の1人はこう話している。(IDG)

[IDG Japan]
IDG

 最近Sam's Clubで起きた顧客情報流出のある被害者が、詐欺師は同社のガソリンスタンドのポンプに違法な「カードスキミング」装置を取り付けてクレジットカード情報を盗んだかもしれないと示唆している。こうした詐欺行為はSam's Clubが公表した期間よりも長く行われていた可能性があり、その影響は数千人に及ぶかもしれない。

 Wal-Mart傘下のSam's Clubは12月2日の声明文で、9月21日から10月2日の間に同社のガソリンスタンドで給油した顧客(数は不明)のクレジットカードデータが流出した件について調査していると述べている。同社は、顧客から不正な請求について苦情を受けたクレジットカード会社からこの問題を通知されたという。

 同社の担当者は「店内で使用されている電子システムとデータベース」は今回の件に関係していないと明らかにしたほかは、説明を拒否した。何度も電話でコメントを求めたが、返答は得られなかった。

 Alabama Credit Union(ACU)は先週この件の通知を受けた後、約500人の顧客のデビットカードを停止して再発行した。同機関は米信用組合全国協会から通知を受けたという。

 1つの機関がこれだけ多くのカードを停止しなければならなかったということは、今回の流出事件の影響を受けた被害者は、Sam's Clubが把握している約600人よりもずっと多い可能性があるということだとGartnerのアナリスト、アビバ・リタン氏は指摘する。

 実際、ACUのスティーブ・スウォフォード社長はWebサイト上で、この流出事件は「非常に多くのカード所有者、カード発行会社、金融機関」に影響すると述べている。

 「数日のうちにもっと多くのカード発行会社と金融機関が、同様の詐欺防止策をとるためにカード保有者に連絡を取ると確信している。少なくともアラバマの大手金融機関1社の4000枚を超えるカードに影響が出ていることをわれわれは把握しているが、彼らはまだ公式に発表していない」

 流出事件の被害を受けたカリフォルニアのソフト企業の従業員ダン・ザークル氏は14日、犯人はガソリンポンプのクレジットカードリーダーを偽物とすり替えてデータを盗んだと思うと電子メールで語った。「クレジットカードリーダーが何か違うように見えたことを覚えている。残念ながら、その意味するところに気付いたのは不正な請求を発見した後だった」

 同氏は、自分のカード情報が11月2日か17日――Sam's Clubが窃盗が起きたとしている期間の1カ月あまり後だ――にSam's Clubのガソリンスタンドから盗まれ、21日に不正利用されたのではないかと考えている。「犯人はわたしの番号を使った偽造カードを利用してスウェーデンの店で宝石を買った」

 この不正利用によりザークル氏の口座は空になったが、その後銀行から不正請求分の払い戻しがあったという。カード情報を盗まれたことに気付いた後、同氏は地元の警察、シークレットサービス(米財務省検察局)、取引銀行のATM詐欺調査官に通報した。

 カードスキミング装置が使われたのなら、Sam's Clubは次第に増えているこの種の詐欺の最新の被害者にすぎない。「ガソリンポンプでのスキミングは多数のカード発行会社にとって最大の詐欺問題となっている」とリタン氏。

 違法なカードスキミング装置を使って、顧客がクレジットカードでガソリンを購入する際にカードの磁気ストライプ内の情報を傍受して記録する手口は次第に増えていると同氏は指摘する。スキミング装置は非常に小さく、ガソリンポンプの内部配線に接続されていることもある。普通のカードリーダーの外側に取り付けられていることもあるが、気付かれにくいという。

 複数のガソリンポンプの内部にこうした装置を取り付けるのは、たいていは難しくない。同じメーカーの幾つものポンプを1つの鍵で開けられることがあるからだとリタン氏は説明する。「会社に不満を持っている従業員が1人いれば」多数のシステムに侵入できると同氏は語っている。

Copyright(C) IDG Japan, Inc. All Rights Reserved.