「カード情報を暗号化しなかったのは当社の過ち」――情報流出被害のStratfor

[鈴木聖子，ITmedia]

　米民間情報機関StratforのWebサイトが2011年12月に不正アクセスされて顧客のクレジットカード情報が流出した事件で、同社のジョージ・フリードマンCEOはWebサイトに掲載した声明で事件の経緯を説明し、カード情報を暗号化していなかった過ちを認めた。

　1月11日付の声明によると、同社のWebサイトに対する不正アクセスが最初に発覚したのは12月初旬だったといい、この時点で米連邦捜査局（FBI）が捜査に乗り出していた。フリードマンCEOは「事態が公になれば評判が傷つくことは分かっていた。さらに悪いことに、われわれはクレジットカードのファイルを暗号化していなかった。これは当社側の過ちだった」と振り返る。

　その過ちは会社の急成長に起因すると同氏は分析し、「会社が成長しても、管理部門と管理プロセスが成長しなかった」と指摘。この問題について現在対処を進めており、再発防止に努めるとした。

　同社のWebサイトは12月24日に再度不正アクセスされ、ホームページが改ざんされるとともに、クレジットカード情報と電子メールが盗まれてデータとバックアップ情報を記録したサーバが破壊される被害に見舞われた。「この攻撃には明らかに、当社の記録とWebサイトを破壊してわれわれを黙らせる意図があった」とフリードマン氏は言う。

　しかし現在までにWebサイトと電子メールは復旧し、アーカイブも全て復元される見通しだといい、「われわれを黙らせようとする試みは失敗した」と同氏。ハッカー集団Anonymousの名で犯行声明が出されたことについては「“Anonymous”というのは“unknown（不明）”と同じことだ。Anonymousは特定の思想を持った若者で構成されているというのが一般的な見方だが、それが事実かどうかは分からない」と述べるにとどめた。