米ターゲットの顧客情報漏洩、空調業者からのパスワード流出が原因

2014.02.07 13:00
  • このエントリーをはてなブックマークに追加

140207_targethvac.jpg


2段階認証使っておらず。

去年の年末に米ターゲットでクレジット/デビット・カード情報が大量流出した事件で、当局がついに原因を突き止めたみたいです。それは、空調業者です。一次的には。

セキュリティブロガーのブライアン・クレブスさんによると、ターゲットはこの事件の責任を「サードパーティの業者」なる会社におっかぶせようとしてきたんですが、それは空調業者、Fazio Mechanical Services社だったことがわかりました。ハッカーはFazio社の持つログイン情報を入手して、そこからターゲットのネットワークに侵入したようです。

Fazio社のロス・ファジオ社長はクレブスさんに対し、シークレットサービスがターゲットの件に関して同社に来たことを認めました。彼は全て詳細に伝えるつもりだとしています。

でも、なぜ空調業者がネットワークへのログイン情報を持っていたんでしょうか? そして、なぜ空調業者のログイン情報を入手しただけで、センシティブな顧客情報にアクセスできてしまったんでしょうか? 

ひとつめの疑問に関しては、コスト削減のためだったと考えられます。匿名のサイバーセキュリティの専門家はクレブスさんに対し、大規模小売店はエネルギー消費量を監視してコスト削減する目的で業者を使うことがあると言っています。いわく、

このエネルギー消費量監視をするには、業者はメンテナンス(アップデート、パッチ、など)やトラブルシューティングの際、システムにリモートからログインする必要があります。[…]一企業だけで同じことをするとなると、コストが課題になります。人件費を減らすという意味では、新たに人を雇ったり教育したりするより、業者を頼む方が良い場合もあるんです。

業者のログイン情報を入手したハッカーは、まずターゲットのレジの一部でマルウェアをテストしました。去年の11月15日から28日の間のことでしたが、誰にも全く気づかれませんでした。クレブスさんが捜査関係者から聞いたところでは、その2日後にターゲットの「大多数」の店舗にマルウェアが拡散され、11月27日から12月15日の間に買い物をしたお客さんの情報を収集していきました。

そしてふたつめの疑問に関しては、まず顧客情報を管理するネットワークが他のネットワークと分かれていなかったこと、そして2段階認証を使っていなかったことが理由として挙げられます。前者に関しては義務化されてはいませんが、後者に関しては、小売業のセキュリティ標準の中でリモートアクセス時には必要とされています。ターゲットはそれを満たしていなかったんですが、これで法的にどんな責任が発生するかはまだわかりません。もし刑事責任を問われずに済んだとしても、銀行への払い戻しや罰金、カスタマーサービス費用など、多くの費用負担が必要になりそうです。

ターゲットから盗まれたデータはブラジルのサーバにあると考えられていて、米国政府がブラジル当局と交渉中です。

というわけで、情報流出の経緯は大体わかってきました。他の小売業者では同じ轍を踏まないように、対策してくれるといいですね…。


Krebs on Security via Wall Street Journal

Ashley Feinberg(原文/miho)

  • このエントリーをはてなブックマークに追加
  • マルチデバイス対応 cheero Power Plus 2 10400mAh (シルバー) 大容量モバイルバッテリー
  • cheero mart
  • cheero Power Plus 10400mAh DANBOARD Version マルチデバイス対応モバイルバッテリー
  • cheero mart
特別企画

家事で空気は汚れる? 「Dyson Pure Cool Link」でチェックしてみた

Sponsored by Dyson 風が強くて気持ちいい扇風機と、微細なアレルゲンも取り除いてくれる空気清浄機。2in1なダイソン・エアマルチプライアーシリーズ最新モデルが、さらなる進化を遂げました...
続きを読む»

・関連メディア