1ドルショップ、顧客情報ハッキングで70万ドル盗まれる
警察の報告によると、サイバー窃盗団が少なくとも800人のカリフォルニア州とオレゴン州の小売り顧客のATM情報をハッキングし、過去2カ月で個人口座から70万ドルもの大金を盗んだ。
米玩具小売りチェーンのDollar Treeのカリフォルニア州モデスト店とカーマイケル店、およびオレゴン州のアッシュランド店で、ATMカードを使って買い物をした顧客が、コンピュータを使った詐欺による不正な預金引き出しがあったと届け出た。
米連邦捜査局(FBI)と地元捜査当局はeWEEKに対し、情報の窃盗方法を明らかにしようとしなかった。何人の買い物客が犠牲になったのか、正確な数も不明だ。
米財務省検察局サクラメント支部のスーパーバイザー、ブレイディ・ミルズ氏は8月4日、eWEEKに対し当局はこの窃盗を調査中で、およそ2カ月間この事件を捜査していることを認めた。
だがミルズ氏は、この事件は「進行中」とだけ述べ、容疑者や金の盗難方法などの詳細については明らかにしなかった。
Dollar Tree Storesは米バージニア州チェサピークに本社を置く全国展開の小売りチェーン。商品はいずれも1ドルまたはそれ以下で販売されており、文字通り1ドルショップとなっている。2006年7月29日現在、Dollar Treeは全米48州で3156の店舗を経営している。
Modesto Bee新聞の記事によると、Dollar Treeのモデスト店の顧客がATM経由の銀行口座からの不正引き落としを届け出始めたのは6月12日から。
その記事によると、地元警察は600以上の口座からおよそ50万ドルが引き出されたと語った。
アッシュランドの警察当局は8月1日、少なくとも200人が南オレゴンのローグバレーにある複数のDollar Treeで買い物をした後、不正な銀行口座引き落としにより合計20万ドル以上を失ったことを認めた。
サクラメント郊外カーマイケルのDollar Treeのあるシフトマネジャーは8月4日、eWEEKに対し「ここ約2〜3週間」ATM関連の窃盗の届け出はなかったと述べたが、「6月と7月には店にATM窃盗の被害が多数届けられていた」と認めた。
このシフトマネジャーはeWEEKにDollar Treeの本社を紹介したが、本社は終日休みだった。
考えられるシナリオ
サイバー窃盗団によるDollar Tree詐欺の詳細は明らかにされていないが、ATM/クレジットカード会社とその顧客の被害には幾つか共通のシナリオがあると、コネティカット州スタンフォードに拠点を置くセキュリティ企業Protegrityの企業データセキュリティ専門家、デビッド・テイラー博士はeWEEKに語った。
「内部情報が何らかの方法で漏えいした可能性が高いと考えられる」(テイラー氏)
テイラー氏は、暗号化された財務データをインターネット、ワイヤレス、電話回線経由の企業ネットワークによってA地点からB地点に転送する方法については、州や連邦の規定が数多くあると指摘した。
「だが、POS端末のまだ暗号化されていない(日ごとの収入やバックアップ用などの)データについてはどうだろう? そうした(個人情報やクレジットカードの)情報は盗まれやすい」(テイラー氏)
Dollar Treeのような全国チェーンは、個人オーナーとフランチャイズ契約することがよくあり、こうしたオーナーには売り上げデータを企業のデータセンターと同じレベルで保護するだけの財力がない場合も多い。
「100か200、またはそれ以上のチェーン店を抱えているとしたら、全店に完璧なセキュリティを施すには非常にコストが掛かる。通常、チェーン店のシステム保護は不十分だ」(テイラー氏)
テイラー氏によると、主な問題はアプリケーションがサーバと通信する際のパスワードにあるという。
「アプリケーションがサーバにアクセスする際に使用するパスワードは長期間変更されないことが多い。確かにアプリケーションのパスワードは個人のPIN(暗証番号)より変更が難しい」(テイラー氏)
フィッシング、ファーミングなどの手段でひとたびシステムに侵入すれば、後は目的のログファイルがバッチ作業中システムのどこにあるかさえ分かれば、ハッカーにとって個人情報を入手するのは簡単だ、とテイラー氏は言う。
同氏によると、ITセキュリティ管理者はアプリケーションのパスワードを変更するために毎年数時間システムを停止することを嫌がる。多くの業務が年中無休のオンラインとATM購買システムに依存しているからだ。
「経営側は、このようにメンテナンスのためにシステムを停止したがらない。彼らは顧客サービスのためにシステムを稼働し続けることに専念しているからだ。それが本当の問題だ」(テイラー氏)
悪人はこうしたことをすべて把握しており、「われわれに必要なのは、もっと多くの善人にこのことを知らせ、対策を取らせることだ」とテイラー氏は言い添えた。
関連記事
- LimeWireでパスワード入手 郵貯口座から窃盗で逮捕
- 2600万人以上の個人情報漏えい、米退役軍人局で
許可なくデータを持ち帰った職員が窃盗に遭い、退役軍人の氏名や社会保障番号などのデータが盗まれた。 - セキュリティチャンネル
Editorial items that were originally published in the U.S. Edition of “eWEEK” are the copyrighted property of Ziff Davis Enterprise Inc. Copyright (c) 2011. All Rights Reserved.
Special
PR
ITmediaはアイティメディア株式会社の登録商標です。