カード情報大量流出事件－決済会社に何が起こったのか

　米CardSystems Solutionsの大規模なクレジットカード情報漏えい事件の発覚から1カ月あまり。この事件では現在も捜査が続いており、なお明らかになっていない点が多い。だが、CardSystemsに大きな過失があったことが判明し、流出の一端もわかってきた。同社のJohn Perry社長兼CEOの下院小委員会での証言などから、この空前の漏えい事件をみてみよう。

　事件は、6月17日、「4000万枚以上のカード情報が流出した可能性がある」とMasterCard Internationalが発表したことから明るみに出た。同社が決済業務を委託しているCardSystemsのシステムから大量のクレジットカード情報が漏えいした可能性があるというものだ。

　漏えいの恐れがあるのは、2004年8月1日から2005年5月27日の間に使用されたカードの情報である。カード会社別ではMasterCardが約1390万枚分、VISAが約2200万枚、さらにAmerican Expressなどのものも含まれている。

　日本でも5月20日になって、日本国内で発行されたVISAとMasterCard合わせて14万枚の情報が漏えいした可能性があることが判明。JCBのカード情報も危険であることがわかった。

【お詫びと訂正】記事初出時、カード会社の説明内容に誤りがありました。お詫びして訂正させていただきます。

　過去に何度も起こったカード情報漏えいと比べても例のない大規模なものである。

　事態を重く見たVISAとAmerican Expressは7月19日、CardSystemsとの契約を8月いっぱいで打ち切ると発表した。MasterCardも契約打ち切りを視野に入れながら、期限を決めてセキュリティの抜本的な改善をするよう求めている。CardSystemsの立場は苦しく、破たんの危機に直面している。

　そのCardSystemsのJohn Perry CEOが7月21日、米下院下院金融サービス委員会小委員会で証言し、さらに事件の詳細がはっきりしてきた。

　それによると、同社がデータ漏えいの可能性に気づいたのは5月22日の日曜日。システムに「侵入による犯罪の痕跡」が認められたためという。同社は翌23日にFBIに通報するとともに、クレジットカード各社と銀行に連絡した。

　また、Perry CEOはこのなかで、データがどうやって盗み出されたかも説明している。

　2004年9月、何者かが、顧客のデータアクセス用アプリケーションを利用して外部からネットワーク経由でCardSystemsのシステムに侵入し、認められていないスクリプトを組み込んだ。

　このスクリプトは、CardSystemsのシステムで動き、記録を抽出してZIPファイルに圧縮し、FTPサイトへエクスポートするものだった。特定のファイルタイプをターゲットに、個人情報をサーバーで検索し、4日おきに動作するよう設定されていた。

　決済業者は、クレジットカードの処理データを保存しないよう決められている。しかし、同社のサーバーには、カードの所有者、アカウント番号、有効期限などのデータが保存されており、これが流出したのだという。Perry CEOは「さまざまな理由のために、完成しなかったトランザクションからなるもので、なぜ、失敗したのかを調べるために保存していた」と説明している。

　しかし、それだけでは、まだデータが悪用される可能性は低い。トランザクションデータはカード会社のセキュリティ基準に基づき、暗号化することになっているからである。だが、CardSystemsは暗号化をせず、そのまま読める状態で保存していた。同社は、これが致命的なミスであったと認めている。

　また、同社の調査では、実際にデータがエクスポートされたのは5月22日だけで、漏えいを確認したのは3つのファイルとしている。このなかには合わせて26万3000件の記録データがあり、23万9000人分のユーザーアカウント情報が含まれていたという。

　CardSystemsは、小売店と金融機関の間で決済業務を提供するサービス会社だ。ジョージア州アトランタに本社を置き、アリゾナ州ツーソンの事業所でシステムを運用している。15年以上の経験を持ち、年間150億ドル以上の決済を処理している。

　とはいえ、従業員115人の未公開企業で、それほど大きな会社ではない。米国内には、こうした決済会社は数百社あるという。同じようなことが、今後も他の業者で起こる可能性は否定できない。

　一方、クレジットカードの個人情報は、クラッカーの絶好のターゲットとなっており、米New York Timesなどによると、ネット上の闇市場で、1件あたり100ドル程度で売買されているという。