エポスカード

バーチャルカードで安心!年会費無料
セキュリティーが高いエポスカード!

世界がゾッとした!クレジットカード情報流出事件【アメリカ編】

世界がゾッとした!クレジットカード情報流出事件【アメリカ編】

アメリカで起こる社会問題は、必ず日本も後追いすることになると言われています。

もしもその通りだとしたら、今アメリカを揺るがしている大規模なカード犯罪も、近い将来私たちにとっても日常的な話になっているかもしれません。

今回ご紹介するのは、アメリカで起こった大規模なカード情報流出事件です。

何と言っても怖いのは、いつどこで自分のカードが流出するか全く分からないということ。対岸の火事ではないと考えて読めば、あなたもゾッとすること必至ですよ。

事件簿① 米国最大規模!1億6千万枚以上のカードが盗まれた!

2013年7月25日、アメリカ史上最大規模のハッキングが明らかになりました。企業からクレジットカード情報を盗み出した5人が起訴されたのです。

流出したカード数は1億6千万枚以上、米司法省によると、その被害金額は数億ドルに上ります。

犯行期間は2005年から2012年にかけてですが、主な企業に対してのサイバーアタックは2008年と2009年に起こったと見られています。

グループによる組織的犯行だった!

今回の事件で起訴されたのは、ロシア人4人とウクライナ人1人の5人。逮捕時は全員20代から30代前半でした。

  • ウラジミール・ドリンクマン(Vladimir Drinkman)
  • アレクサンダー・カリーニン(Alexandr Kalinin)
  • ローマン・コトフ(Roman Kotov)
  • ミハイル・リティコフ(Mikhail Rytikov)
  • ドミトリー・スミラネッツ(Dmitriy Smilianets)

ハッカー集団といっても全員がハッキングをする訳ではありません。この5人も分業体制をとっており、それぞれが得意分野の仕事をこなしていました。

その仕事ぶりは、ウラジミール・ドリンクマンとアレクサンダー・カリーニンが企業のシステムに侵入、ローマン・コトフが価値のある情報を選別。

ミハイル・リティコフがWebホスティングの担当者としてメンバーの痕跡を消し、ドミトリー・スミラネッツが盗品を売りさばくといった具合です。

このように分業体制がバッチリだったからこそ、長期に渡る大規模な犯行が可能だったんですね。しかしこの5人は更に大きな組織とも関わっていると考えられています。

このグループのメンバーは、既に20年の懲役で服役中のハッカー、アルバート・ゴンザレス(Albert Gonzalez)の一味と見られており、ドリンクマンとカリーニンは彼が関わった大きな流出事件との関与でも起訴されています。

大企業が続々と餌食に!その被害内容とは?

今回の犯行で被害を受けたのはどれも大企業ばかり。それだけに盗まれたカードの量も半端ではありません。

中でもカード決済会社のハートランド・ペイメントの被害は甚大で、今回盗まれたカードの殆どがここから流出しています。

企業名 流出したデータ 損害額
ハートランド・ペイメント 1億3000万件分のカード番号 2億ドル
シティバンク 40万件分の口座情報 650万ドル
グローバル・ペイメント 95万枚分のカード情報 9300万ドル
PNCバンク 数100件分の暗証番号 130万ドル

これ以外にも、ナスダック、カルフール、セブンイレブン、JCペニー、ジェットブルー、ダウ・ジョーンズ、ビザ・ヨルダン、ダイナーズ・シンガポールが被害を受けたことが分かっています。

流出したのはクレジットカードだけではありません。シティバンクやPNCバンクから、合計80万件に上る銀行口座情報も盗み出されています。

メンバーの1人アレクサンダー・カリーニンは、このデータから偽造したカードでおよそ9億ドルの現金をATMから引き出すことに成功しています。

その後の犯人たちの行方

犯行メンバー5人のうち、ディミトリ・スミリアネツはアメリカ国内で、ウラジミル・ドリンクマンはオランダで逮捕されましたが、残る3人は逃亡中です。

ウラジミル・ドリンクマンは勾留中のオランダを2年半ぶりに出国してアメリカの法廷に立ちましたが、容疑については否認を続けています。

アメリカ史上最大規模のカード流出事件に関わる犯罪組織の実態究明は、どうやらもっと先になりそうです。

ブラックマーケットで売買!?気になる流出カードの行方

ハッカーグループの1人は偽造カードで9億ドルの現金を手に入れましたが、この時に悪用されたのは盗んだ情報のほんの一部に過ぎません。

それ以外の大量のデータは、ブラックマーケット上で売りさばかれたのです。

ブラックマーケットといってもネット上ですから、全世界からアクセス可能なのです。

つまり一旦カードが流出してしまうと、どこの誰の手に渡るのか全く予測がつきません。例えば日本のカードが、アメリカやヨーロッパで不正利用される可能性もゼロではないのです。

流出カードのお値段はいくら?

盗まれたカード情報はひとまとめに、また大量ならば分割されて、1枚あたり幾らといった値段がつけられて取引されます。

先程のロシア人グループの犯行では、アメリカのカードは1枚10ドル、カナダは15ドル、欧州のカードは50ドルで取引されたと言われています。

このようにして売られたカードは専門の販売サイトに並び、そこから組織や個人の手に渡るのです。盗品カードには使えないものも混じっているため、「有効率」が表示されています。

売られたカードから流出を突き止める!

このようなブラックマーケットの情報は犯罪者にしか関係がないと思うのは早計で、実は流出問題の解決にも利用されています。

例えば「有効率100%」のまとまった数のデータが出回れば、極最近どこかでデータ流出があったということが分かりますよね。

このように犯罪市場に出回るカードの量や価格の変動を追うことで、ハッカーの動きをいち早く見つけることができるのです。

更には流出元の企業を突き止めるために、実際に企業や銀行がブラックマーケットから盗品カードを買い戻してデータ解析するということも行われています。

事件簿② クリスマス狙いの犯行!ターゲット社から4000万枚流出

米国史上最大と言われたハッカー達が逮捕された半年後の2013年の12月、アメリカではまた新たな大量流出事件が発覚しました。

標的となったのは大型量販店のターゲット・コーポレーション。全米とカナダに2千店近い店舗を持ち、全米売り上げ3位を誇る(2013年時点)大企業です。

システムに不正アクセスがあったと考えられるのは、2013年の11月23日から12月15日にかけてのおよそ3週間。これは小売店がクリスマスに向けて年間で最も売り上げが多くなる時期でした。

流出ポイントは店舗のレジ端末でした。売り上げ情報が集まるPOS端末がハッキングされ、顧客のクレジットカードとデビットカードの磁気ストライプ情報が盗み出されたのです。

その後の調査で、大量のカード情報はマルウェアによって流出したということが分かっていますが、それを仕掛けたハッカーについては未だ特定できていません。

盗み出されたカード情報は何と4000万枚!

その被害はクレジットカード・デビットカード合わせておよそ4000万枚。これに加えて名前、住所、メールアドレス、電話番号といった個人情報が7000万件分。

これがターゲットから盗み出された情報の全貌です。

4000万枚については、顧客の名前、カード番号、3桁のセキュリティーコードまでが盗まれてしまったのです。

流出経路はPOS端末ですから、ターゲットのハウスカードだけでなく、この間にターゲットのレジを通ったあらゆるカードが被害の対象となりました。

その結果、不運なことに不正使用されてしまった顧客は、クリスマスシーズンの最中にも関わらず、使えなくなったカードをキャンセルして新たなカードの再発行を待つハメになったのです。

不自然な利用はカード会社のチェックに引っかかるため、カードが利用停止になることはあってもお金の被害はないことも多いのです。

万が一使われても保証があるので心配はないのですが、持ち主が気付かないような少額の不正使用については注意が必要です。

ターゲット社のセキュリティ対策は?

カード流出の被害を最小限に留めるには、やはり当事者である企業がなるだけ早くハッキングの事実に気付かなくてはなりません。

しかし当時のターゲットの侵入防御(検知)システムには特に不備があったという訳ではなく、セキュリティ基準であるPCI DSSも取得済みでした。

にもかかわらずハッキングされ続けてしまったのは、担当者がこの装置のアラートを無視していただけでなく、マルウェアの自動削除機能をオフにしていたことが原因だと言われています。

しかも今回の流出を最初に報告したのは、実はターゲット社とは無関係の外部の人間でした。

ターゲット情報漏洩に関する記事が出たのは、KrebsOnSecurityというセキュリティ・ジャーナリストのブログ上だったのです。

ジャーナリストの指摘に遅れをとった企業対応

セキュリティ専門家のブライアン・クレブズは、12月18日付けの自身のブログ上でターゲットからの流出をレポートしています。

According to sources at two different top 10 credit card issuers, the breach extends to nearly all Target locations nationwide, and involves the theft of data stored on the magnetic stripe of cards used at the stores.

【翻訳】
有名クレジットカード会社2社の情報源によると、ほぼアメリカ全域のターゲットで漏洩があり、店舗で使われたカードの磁気ストライプのデータが盗まれていたことがわかった。

出典:KrebsOnSecurity(翻訳:クレブズ・オン・セキュリティ)

ターゲット社はその翌日19日に正式発表に踏み切りましたから、この記事がなければ利用者が流出を知るのはもう少し先になったかもしれません。

対応の遅れだけが理由ではないのでしょうが、ターゲット社は最終的に顧客から集団訴訟を起こされることになりました。

結果的に利用者1人当たりにつき最大1万ドルの和解金を支払うことで合意に至っています。

なお銀行からも合計10億ドル以上の訴訟を起こされており、またシステム改善の費用も最大2億ドルに上ると見られています。

事件後は株価も下がり、失墜した信用回復はそう簡単ではないようです。

事件簿③ 買物するのが怖い!連発する米・小売店へのハッキング

ターゲット社からの流出が明らかとなった月の翌月、新年の2014年初頭から、アメリカではPOS端末を狙った小売店からの漏洩が次々と発覚します。

1月にはデパートチェーンのニーマン・マーカスとクラフトショップのマイケルズからの流出が明らかになりました。

【ニーマン・マーカス】がハッキングされたのは2013年6月16日から10月30日の間で、流出したカードは最終的には最大350,000人分と見積もられています。

【マイケルズ】の流出は2013年5月8日から翌年2014年の1月27日にかけて。被害件数は2600,000件に上りました。

2月には【ホワイト・ロッジング】からの流出が明らかになりました。

この会社が管理するヒルトンなど有名ホテル内の店舗やレストランから、2013年にカード情報が流出したことが分かっています。

犯罪市場に売り出された28万枚!流出元はサリー・ビューティー

そして2014年の3月2日、また新たに28万枚のカード情報が不正カードの取引サイトに並びました。

そこで3つの銀行が、その出所を調査するために盗難市場から15のカード情報を買い戻したのです。

その結果、いずれのカードも最後の10日間に共通して【サリー・ビューティー】のレジを通っていることが明らかになりました。

因みにこの流出の発覚も、KrebsOnSecurityの記事がきっかけになっています。

それにしても身近な小売店へのハッキングがこうも連発すると、買物することが怖くなってしまいそうですよね。しかし流出の報告はまだ止まりませんでした。

6月はチャイニーズレストランチェーンの【P.F.チャングス】が、2013年の10月19日から2014年の6月11日の8ヶ月に渡ってデータ流出があったことを認めました。

漏洩した情報はカード番号の他、一部は所有者の名前と有効期限も含まれています。

8月に【デイリー・クイーン】から漏洩調査中との発表があり、その後11月に600,000枚のクレジットカードとデビットカードの情報が流出したことを発表しました。

ターゲットを上回るホーム・デポの被害件数!

ホームセンターの大手チェーンの【ホーム・デポ】から大量流出の発表があったのは9月18日のことでした。

ホーム・デポは当初5,600万枚のクレジットカードとデビットカードの情報流出を、11月になってこれに加えて5,300万件のメールアドレスの漏洩を公表しました。

流出は他の企業と同様にPOS端末からでした。4月から9月にかけての5ヶ月間に渡って2200件全店舗から情報が流出していたのです。

これは1社からの流出枚数ではターゲット社を上回り、2007年に92,00万人分のデータが盗まれたTJX社の事件に次ぐものとなりました。

このように流出が続くと、カード所有者も自分で積極的に情報収集する必要があります。

しかしこれまでの流出事件の経緯を見ると、アメリカでは企業のサイトよりも、第三者であるセキュリティ・ジャーナリストのブログをチェックする方がいいかもしれませんね。

複数の流出事件をレポートしたブロガーのブライアン・クレブズは、今ちょっとした有名人になっています。

その活躍ぶりを評価され、何とハリウッドで映画化の話もあるとか。これもいかにもアメリカらしい話題だと言えます。

ゾッとした方にはこのクレジットカードがおすすめです

エポスカード年会費無料で保険の補償が充実しています。

エポスカード

カードの詳細へ
公式サイトはコチラ
  • 最短即日発行可能!カードデザインは74種類から選べる!
  • カード会員限定!マルイで年4回開催される7日間は10%割引!
  • 年会費無料!傷害疾病補償も付いている海外旅行傷害保険が自動付帯!
  • 飲食店・カラオケ・レジャー・温泉など全国7,000店舗以上の優待特典!
  • カード利用通知サービスや不正使用検知システムで安心できるセキュリティ!
  • エポスバーチャルカードで安心してネットショッピングできる!

以上6つの特徴は、エポスカードの魅力として是非伝えたいところです!マルイファンなら、エポスカードは必需品と言っても良いでしょう!

米国カード流出事件はスケールが大きい!日本も油断は禁物です

アメリカのカード流出事件はスケールも被害額も大きいですが、対岸の火事で済ますのは危険です。

特に自己管理は重要!普段からカード利用明細をしっかりチェックすることを習慣づけておきましょう。

メニューを閉じる