【事例から学ぶ「有効な不正対策」】　深刻なハッキング被害を招いた大手小売チェーンの怠慢

不正の典型例
Case in Point
深刻なハッキング被害を招いた大手小売チェーンの怠慢
　INACTION CAUSED COSTLY HACKING AT LARGE RETAILER

ジョン・Ｊ．ランビラス　（法学博士／ＣＦＥ／ＣＰＡ）：著
By Jon J. Lambiras, J.D., CFE, CPA

　ハッカー達がある大手小売チェーンのデータベースの中枢に侵入し、４５万６０００人の顧客の個人情報と共に、少なくとも４５００万件のクレジットカードおよびデビットカード番号を盗んだ。それに伴う不正請求は全世界で１億ドルに迫る勢いだ。最悪なのは、同小売チェーンは業界標準の安全策を講じておらず、実質的にハッカーに対してレッドカーペットの花道を提供してしまったことである。

この記事は、ジョン・Ｔ．ワイリー・アンド・サンズから２００９年１月に発売予定の、ジョセフ・Ｔ．ウェルズ編「コンピュータ不正事例集－牙をむくバイト－（Computer Fraud Casebook: The Bytes that Bite）」からの抜粋である。

　全国版のニュース報道によると、ハッカー達が米国のある小売チェーンに矛先を向けた。携帯在庫管理端末、レジ、店舗内のコンピュータの間を飛び交うデータを、ラップトップコンピュータにより解読し、そこからハッカー達は、１０００マイルも離れた同社の本社にある中央データベースに侵入する方法を見つけたのだった。侵入口となったのは、情報セキュリティがずさんなまま接続された、時代遅れの無線ネットワークであった。

　その結果、史上最悪の情報セキュリティ違反が発生した。約４５６，０００人分の顧客情報（運転免許証や軍隊用のＩＤ番号とそれに付随する住所、氏名）とともに、４５００万件分のクレジットカードやデビットカード番号が盗まれた。個人ＩＤ番号の多くは、社会保障番号と同一であった。

　ハッカー達は、盗まれた情報の多くを盗難情報取引専用のウェブサイトを通じて売りさばいた。あるカード口座は、大型ディスカウントストアとオンライン業者との取引で不正に利用され、別の口座では、４万５０００ドル分のギフトカード代が不正請求された。被害は米国内だけでなく、メキシコ、イタリア、スウェーデン、タイ、中国、日本、そしてオーストラリアなどに及び、不正請求の総額は１億ドルに迫った。

　この事件の渦中にあったのは、RackCoという米国の大手小売チェーンであった。（この記事における名称はすべて仮称である。）複数の小売チェーンの親会社である同社は、全米に２０００以上の店舗を有し、全世界での年商は１７０億ドルを誇る。

　一見すると、RackCoは、高い専門性をもったデータ窃盗ギャングに襲われた無力な犠牲者のように思えた。しかしよく調べると、同社は主要な情報セキュリティ規準に数多く違反しており、それによりハッカーを招き入れてしまったといえる。その結果、犯人たちは、１年半のうちに同社のコンピュータ・システムから整然とデータを盗み出したのだった。

　（私は、RackCoに対して起こされた訴訟の原告側の弁護士を務めた。同訴訟における自分自身の役割に照らして、この事例は、公開情報のみに基づいて執筆する必要があった。この事件は社会的に高い注目を集めたため、多くの報道がなされている。私が参照した記事の信憑性についての裏づけは取っていない。）

実態の把握　（REALITY CHECK）

　ハッカー達が、RackCoのシステムにアクセスしていた間に、同社の定期監査において、時代遅れの暗号化機能やファイアーウォールやソフトウェアパッチの欠落などのセキュリティ上の問題が多数明らかになった。

　３ヶ月後、別の監査人が、RackCoのネットワーク上に疑わしいソフトウエアを検知し、クレジットカードデータの異常にも気がついた。それをきっかけに、RackCoは内部調査を実施し、大手のフォレンジック・コンサルティング会社２社に支援を求めた。調査により、３日のうちに、ハッカーが同社のコンピュータ・システムに継続的にアクセスしており、同社は大掛かりな不正侵入の被害に遭っているということが判明した。また、侵入が継続的になされているため、犯人を現行犯逮捕できる可能性もあった。

　RackCoは、法務省、シークレット・サービス、連邦検察局、そして後にＦＢＩにも事件を報告した。各政府機関は、捜査に積極的な役割を果たした。

ずさんなセキュリティ　（SHODDY SECURITY）

　調査によると、ハッカーが不正アクセスできた理由は、RackCoの無線ネットワークに使われていたデータ暗号化システムが、Wired Equivalent Privacy（ＷＥＰ）と呼ばれる時代遅れで侵入者の攻撃を受けやすいシステムであったためであることがわかった。

　その時代遅れの技術は、多くの個人が自宅用に利用しているワイヤレスネットワーク用のセキュリティにも劣る代物だといわれている。ハッカーがRackCoのワイヤレスネットワークの電波を傍受し、暗号を解読すると、同社の中央データベースにログインする従業員の入力内容からユーザーＩＤとパスワードを盗み出す。それにより、インターネットを介してどのコンピュータからでもRackCoのシステムに入り込むことが可能になるのである。個人や喫茶店などの公共の場所のウェブアドレスを用いることにより、ハッカーは自分たちの素性を隠す。

　ハッカーは自分の口座をRackCoのシステムに開設し、アクセス可能なおよそ１００個の大きなファイルにクレジットカード、デビットカードのデータを保存した。彼らは、およそ８３ギガバイト相当のカード保有者のデータを盗み、RackCoのシステムからカリフォルニアのとあるインターネットサイトに移し変えた。（１ギガバイトのデータは、マイクロソフトWordの文書ファイルに換算するとおよそ６万５０００ページ分に相当する。したがって、ハッカーは、５４０万ページ分の情報を盗んだことになる。）

　ハッカーは、改ざんされたコンピュータ・ファイル、疑わしいソフトウェア、おかしな順番のタイムスタンプを含むめちゃくちゃなデータなどの痕跡を残していた。また、ハッカー同士が作業の重複を避けるために、どのファイルがコピー済みかをやり取りした際の暗号化された記録までもが、RackCoのシステム内に残されていた。

　盗まれたデータの一部は、RackCoにより暗号化されていたが、それにはハッカー達は、暗号解読のためのツールを使った。RackCoがクレジットカード業界制定のルールに反して、長期間システム内に保存していたカードデータが狙われたのだ。

　犯人たちはまた、顧客がクレジットカードやデビットカードの情報を入力し、カード発行銀行からの承認を待っているタイミングを狙って、情報を盗み取った。そのために彼らは、RackCoのネットワーク上に「スニファー」と呼ばれる情報トラフィックをモニタリングするプログラムをインストールし、商品購買時に暗号化されていない状況で送信されるカード情報を捕捉していた。

　捜査官は、これらの手口は、ルーマニアのハッカーやロシアの組織犯罪グループに特徴的なものであるとみている。彼らは、性急かつ不器用に出入りを繰り返し、動かぬ証拠となる痕跡を残すことの多い他のハッカーとは対照的に、セキュリティの脆弱なターゲットを見極めて、整然と侵入することで知られている。

カードを持った犯罪者たち　（CARD-CARRYING CROOKS）

　ハッカー達は、少なくとも４５００万件におよぶクレジットカードとデビットカードの番号と有効期限の情報を盗んだ。正確な盗難件数は明らかにできていない。なぜなら、RackCoが侵入を検地するまでの間に、通常業務の中で不正アクセス情報の多くを消去してしまったいたからだった。また、ハッカー側も消去技術を用いていたため、盗まれたデータの中身を特定することが実質的には不可能であった。およそ１億件のクレジットカードとデビットカードの取引が、ハッカーがアクセスしたと思われる期間中に発生していた。

　盗み出された情報の中には、カードの磁気テープに記録された完全な「トラック２」と呼ばれるデータが含まれていた。その中には、カードの１６桁の番号や有効期限などのセンシティブ情報や、銀行が任意に書き込むカード発行日や発行国などの情報が含まれるが、幸いなことに、カード所有者の住所や氏名は含まれない。

　盗まれた時点で既に期限切れとなっていたカード番号も少なくなかったが、それでもリスクはあった。なぜならば、有効期限が過ぎたカードはしばしば同じ番号で再発行されるからだ。なりすまし犯は、新しい有効期限を当て推量と消去法により究明するのである。

　電子認証によるとハッカーは、大量のデータを盗むために、販売活動がピークとなる時間帯を狙っていたことがわかる。

訴訟に直面　（FACING LEGAL ACTION）

　不正アクセスが発覚してから約１ヶ月後に、RackCoは顧客や一般消費者に対してその事実を公表した。同社はプレスリリースにおいて、一定の顧客情報がコンピュータ・システムから盗まれたが、盗難の規模は未だ不明であると発表した。侵入の被害を受けたデータには、米国、カナダ、そして恐らく英国、アイルランドにおけるクレジットカード、デビットカード、小切手、商品返品取引の情報が含まれるとし、RackCoは、被害に遭った可能性のあるクレジットカード番号のリストをクレジットカード会社に提供し、その情報はカードの発行銀行を通じてカード保有者に伝えられた。

　事件の発表は、アメリカ国内外においていっせいにマスコミの注目を集めることになった。RackCoは、顧客情報の保護に失敗したことに加えて、２００６年の１２月中旬には事態を把握していたにもかかわらず、書き入れ時の休暇シーズンが終わる２００７年１月中旬まで発表を遅らせたことで、非常に厳しい批判を浴びることになった。

　RackCoの発表直後に、２つの原告グループが同社に対する集団訴訟を提起した。１つは個人情報盗難の被害にあった顧客であり、もう１つはカードの差し替え発行や不正請求の補償、口座のモニタリング等に伴うコスト負担を強いられたカード発行銀行である。

　連邦取引委員会（ＦＴＣ）、複数の州の検事総長、そしてカナダの規制当局も、RackCoを顧客保護関連法違反の疑いで調査した。

　これまでに、RackCoは、内部調査、コンピュータ・システムのアップグレード、政府機関の調査への対応、訴訟費用、和解関連費用のために２億５０００万ドルを費やすことになった。

巧みに身を隠すハッカーたち　（ELUSIVE HACKERS）

　シークレット・サービスやＦＢＩなどによる集中的な調査にもかかわらず、事件発覚後２年たった現在でも首謀者は捕まっていない。そのかわりに、盗難されたクレジットカードやデビットカードの番号を不法に使用した末端の犯罪者たちが、数名逮捕された。

　捜査官たちは、この事件は、インターネット上で盗んだ情報を売りさばく組織化された犯罪者集団によるものだと考え、盗み出した大容量の情報を購入し、小分けにカスタマイズして売りさばく仲買人を探し出した。クレジットカード情報は、利用可能金額や有効期限、発行銀行など様々な項目別にパッケージ化されていた。

　２４歳のウクライナ人男性が、盗まれたカード番号を販売しようとしてトルコで逮捕された。彼は、盗難情報の売買に頻繁に利用されているオンライン・フォーラムや匿名ウェブサイトを通じて、RackCoのハッカーから情報を入手したとされた。そして彼は、同様のウエッブサイトを使って末端の利用者にカード情報を販売したのだった。そのウクライナ人はカード情報１件あたり約２０～１００ドルの値段を付け、一度に１０，０００件程度まとめて販売していた。

　ウクライナ人男性が捕まる数ヶ月前に、フロリダでRackCoから盗まれたカード情報を不正使用した集団が逮捕された。彼らが保有していたカード情報の幾つかは、そのウクライナ人から購入されたものであった。彼らの手口は、合法的な入手が容易な機器を使って、本物そっくりのカードを偽造し、そこに盗み出した情報を移植するというものだった。そして、そのカードを使ってフロリダ中の大規模小売店で最高額面４００ドルのギフトカードを購入するという新手のマネーロンダリングを行っていた。犯人たちは、ギフトカードで宝石や電化製品などを購入し、その後返品して現金化する場合もあった。

　この策略は当初は成功し、不正請求は約８００万ドルに及んだ。しかし、注意深い店員がギフトカードをあまりに頻繁に使う犯人たちを不審に思い、一味が車で走り去る際に、ナンバープレートの番号を書き留めた。それが手掛かりとなって、グループの１人の身元が割り出された。また、防犯カメラの映像から、さらに２人の身元が判明した。最終的には８人が逮捕され、数名は不正関連の罪を認めた。リーダーは懲役５年に処せられた。

組織内部の無策ぶり　（THE INCOMPETENCE WITHIN）

　RackCoの社内調査により、以下の事項が判明した。

・	RackCoは、クレジットカード業界に要求される重要なセキュリティ対策を定めた、「支払いカード産業データ・セキュリティ基準（Payment Card Industry Data Security Standards, PCIDSS）」の１２項目うち９項目を遵守していなかった。
・	RackCoは、ＷＥＰワイヤレスのような欠陥の多い時代遅れの無線技術を利用しており、Wi-Fi Protected Access（ＷＰＡ）と呼ばれるより安全性の高い形式に変更していなかった。
・	RackCoは、無線ネットワークを適切に設定していなかった。
・	RackCoは、規則に違反してカード保有者のデータを不適切に保管していた。カード偽造を容易にするトラック２データを保存することは、１０年も前から禁止されている。
・	RackCoは、カード保有者情報の保存、処理、転送に使用する機器をネットワークから分離していなかった。
・	RackCoの従業員が使用していたユーザーＩＤとパスワードは安全なものではなかった。中には、ユーザーネームとパスワードが同じものがあった。
・	侵入検地プロセスが不適切であった。
・	ファイアーウォールの防御に不備があった。
・	ソフトウェアのパッチが不十分であった。
・	コンピュータへのアクセス状況やアクティビティ・ログの維持、点検が適切に行われていなかった。
・	ウイルス対策が最新のものではなかった。

　特に問題視されたのは、RackCoは何年間にもわたって、これらの問題を認識していたにも関わらず、対応を怠っていたことである。情報システムへの侵入事件が発覚する２年以上も前に、同社のシステムが複数の情報セキュリティ基準に違反しているという報告が同社に対してなされていたといわれている。そのうちのいくつかは情報セキュリティ上の重要なリスクをもたらすものであったが、RackCoは必要な予防措置を講じていなかった。

　RackCoの無線技術の改善提言を無視する決定は、同社の最高幹部によりなされた。事件発覚の１年以上前に、最高情報責任者（ＣＩＯ）がＩＴ部門のスタッフに対してＥメールを送り「ＷＰＡにアップグレードするのが明らかにベストではあるが、コスト削減のために変更を先送りすることになるだろう」との見解を示した。

　その直後には、同社の従業員が次のような内容のＥメールを社内に回覧している。「当社ではＷＥＰのキーローテーションを実施しておらず、これは明らかにＰＣＩＤＳＳの要件に違反している。この事実が明るみに出たり、この状態でセキュリティ違反が発覚したりした場合には、大きな問題となる。」

　このようにセキュリティ上のリスクが認識されていたにもかかわらず、RackCoはＷＥＰからＷＰＡへのアップグレードを拒んだ。その決断は、悲惨な結果を招くことになった。

カナダの規制当局による調査　（THE CANADIAN REGULATORS’ INVESTIGATION）

　カナダの規制当局は、RackCo社のデータ漏洩事件を８ヶ月にわたって調査し、調査結果と勧告を発表した。

　報告書によると、データ漏洩が最初に発生した時点では、RackCoの小売店舗では旧式のＷＥＰ無線暗号化技術が用いられていたが、少なくともその２年前には、コンピュータ・セキュリティの専門家の多くが、ＷＥＰのセキュリティ面での問題を批判し始めていた。実際、ＷＥＰ技術を開発した組織さえもが、ＷＰＡへのアップグレードを推奨していた。漏洩発生後数ヶ月たって（まだ事件が発覚していない段階で）、RackCoはようやくＷＰＡへのアップグレードを決断した。しかし、アップグレードの完了には２年を要し、その間ハッカーたちは同社システムへの不正アクセスを続けた。

　規制当局は、調査の結論として、顧客の本人確認情報は、運転免許証番号や州、軍隊が発行するＩＤ番号である必要はなく、RackCoは、例えば電話番号のような機密性の低い情報を用いるべきであったとみなした。

得られた教訓　（LESSONS LEARNED）

　業界のセキュリティ指針であるＰＣＩ基準を遵守することの重要性を軽視してはならない。基準を守っていない小売業者は少なくないのが現状だが、１２の要件のうち９つも満たしていなかったRackCoのお粗末さは飛びぬけている。違反率７５％というのは、業界平均をはるかに上回る。

　RackCoはデータ漏洩が発覚するずっと以前から、基準を遵守していないことを認識していた。もし、同社がより積極的な対応をしていれば、この史上最悪のデータ漏洩事件を回避することができたかもしれない。

　企業は、データ・セキュリティ高度化の費用対効果を注意深く検討しなければならない。検討に際しては先ず、意思決定者がデータ・セキュリティ侵害の発生可能性、自社が保有するデータの機密性と保有量、侵害発生時の影響などを十分に考慮しなければならない。RackCoの事件に関していえば、多数の基準違反が放置されており、侵害の可能性は高かった。同社のセキュリティ上の不備は数年間続いており、ハッカーによる侵入の機会を拡大させてしまった。また、同社では大量のクレジットカード取引が行われ、かつ顧客情報の多くを長期にわたって保存していたために、データの保有量は膨大な水準に達していた。この事件により、RackCoは調査、訴訟に係る多額の費用を負担し、顧客の信用を失ってしまった。

　RackCoの意思決定者たちは、セキュリティ侵害発生時のコストと、データ・セキュリティ強化のためのコストを十分に比較検討すべきであった。同社のＣＩＯはセキュリティのアップグレードについて目先の予算を気にしたが、同社の強固な財務基盤を考えれば、その程度のコストは取るに足らぬものであったはずである。事件発覚前の純利益は５期連続で５億ドルを超えており、さらに、同社の資産総額は負債総額を優に上回っていたのである。したがって、資金面の問題は全くなかったといえる。費用対効果をより詳細に分析していれば、データ・セキュリティ改善の決断がなされていたはずである。

　もうひとつの教訓は、ずさんなデータ・セキュリティがもたらすハッキングの被害は非常に広範囲に及ぶということである。この事件の主な被害者にはRackCoだけでなく、その顧客、カード発行銀行、クレジットカード関連協会などが含まれる。RackCoは金銭的な損害を被るとともに自社の名声を傷つけてしまった。同社は、内部調査、コンピュータ・システムの更新、政府による調査への対応、訴訟、和解などに備えて２億５０００万ドルを引き当てねばならなかった。また、顧客が同社で安心して買い物ができなくなり、同社の信用が低下したことは容易に想像できる。

　RackCoの顧客は、対応に相当な時間を費やした。不正請求がないかどうか、カード口座の動きをいちいち詳細にチェックし、あった場合には取り消しをめぐって言い争いをしなければならなかった。また、カードを差し替えたり、旧カード番号で登録していた公共料金等の支払い明細をすべて変更したりしなければならなかった。さらに、不正請求に関する自己負担分やカード口座のモニタリング・サービス手数料、ＩＤ盗難保険料、預金口座の新規開設手数料等々の出費も発生したし、ストレス、不安、ＩＤ詐欺に対する恐怖感など、精神的な苦痛も無視できない。特に、自分の個人情報が盗まれた顧客（中には社会保障番号を盗まれた者もいる）は、金銭面、精神面で多大な被害を受けた。

　被害者に対してカードを発行していた銀行も被害者である。それらの銀行は、不正請求の補償額支払い（連邦規則では、通常、不正購入に関するカード保有者の自己負担額の上限は５０ドルと定められており、残りは銀行が負担しなくてはならない）、被害を受けたカードの取替え（１枚につき５ドル～２０ドル）、口座のモニタリングなどのコスト負担を強いられた。

再発防止への提言　（RECOMMENDATIONS TO PREVENT FUTURE OCCURRENCES）

業界規則の遵守
　業界規則の遵守をと言うのは簡単であるが、予算面の懸念や人材面での制約、その他諸々の障害を考えると、実際に徹底するのは難しい。しかし、企業としては最低限、自社を取り巻くセキュリティ・リスクをできる限り客観的に評価し、優先的に改善すべき分野を識別しなければならない。

データ・セキュリティ環境の定期的な検査
　自社のデータ・セキュリティ環境を定期的に検査する方針の導入を検討すべきである。１年毎もしくは半年毎のペースで行い、実際の点検は業務面、人材面のリソースが最も確保しやすい時期を選んで行うといいであろう。あるいは、部門や地域ごとにローテーションを組んで検査を行うのもいいだろう。コンピュータのハードやソフトは急速に陳腐化するため、少なくとも何らかの定期的なレビューを制度化すべきである。

データ収集・保管の制限
　収集、保管するデータは、業務上必要最低限にとどめるべきである。例えば、社会保障番号や運転免許証番号は本当に必要だろうか。より機密性の低い電話番号で代替可能ではないか。誕生日は生年月日すべて必要か。年月だけで十分ではないか。このような問いかけをしながら、機密性の高い情報はできるだけ保有しないようにすべきである。

データ・セキュリティの重視
　要は、企業はデータ・セキュリティへの対応を真剣に考えなければいけないということである。確かに、腕利きのハッカーであれば、どんなに堅固なセキュリティ環境も打ち破ることはできるだろう。しかしだからと言って、データ・セキュリティ強化を後回しにしていいというではない。RackCoの事件に関していえば、ＰＣＩ苦情システム（PCI-complaint system）を導入していれば、同社のデータへのハッカーのアクセスを遮断できたかもしれないし、少なくとも、ハッカーはより脆弱なターゲットに矛先を変えていたかもしれない。

ジョン・Ｊ．ランビラス氏（法学博士、ＣＦＥ、ＣＰＡ、ＦＣＬＡ）は、ペンシルベニア州フィラデルフィアにあるベルガー・アンド・モンタギューＰＣ（Berger & Montague PC）に所属する、消費者訴訟、証券訴訟弁護士である。