ウォールマートに次ぐ大手量販店として知られるターゲットから、顧客の4000万枚のクレジットカードとデビットカードの情報が盗まれた。

【詳細画像または表】

同社は12月19日、年末商戦のブラック・フライデー(11月27日)から12月15日までの間に、全米の1797店で買い物客の情報流出の可能性があると発表。同社のグレッグ・スティンハフェルCEOは「顧客の信頼を保つ事を最優先に考え、直ちに発表した。解決へ向けて捜査当局、金融機関と協力している」とコメントした。現在、連邦当局 、シークレット・サービス、外部のセキュリティ専門家までが乗り出し、犯人の割り出しを急いでいる。

■　POSシステムから流出

今回盗まれたのは顧客氏名、カード番号、有効期限、3桁のセキュリティー・コード、個人識別番号(PIN)などの情報。つまりクレジットカードの裏の磁気テープに記録されている情報がハッキング被害にあったのだ。オンラインショッピングで使用したケースでは被害がないことから、店舗に設置されているPOSシステム周辺のネットワークがハッキングされた可能性が高い。

サンノゼのターゲット店でガジェットを物色中のボブ(仮名)も被害者の1人。ターゲットが発行するクレジットカードの「レッドカード」を使用しているが「私がカリフォルニアにいるのに、ニュージャージー州のある店舗で5ドル程度の買い物をしようとして、その決済が拒否されていた。しかし、別の店舗での130ドルの買い物は決済されていた」。彼のカードの磁気テープ上の情報を盗み、その情報をもとに偽造カードを作成し、東海岸の店舗で使っていたわけだ。

ターゲットから連絡があり、ボブはカード番号を新しいものに替えた。「これで安心というわけではない。どういう経路でカード情報が漏れたのかが分からないので、また起こるかも。対策の打ちようがない」と嘆く。レッドカードは年会費無料で買い物をするたびに5％の割引がある。しかもターゲットのサイトで買い物をすると送料無料という特典もあるため人気のカードだ。しかし、今回の被害の対象はレッドカードだけではない。一般のクレジットカードも含まれている。　「ハッカーは金の集まる場所を攻撃する」–かつてFBIとも協力してハッカー退治をしたこともあるセキュリティ専門家のスティーブ(仮名)に話を聞くことができた。「小売店には弱点がある。店舗のPOS端末を通じて得られる支払い情報が、店頭と銀行や信販会社の間で頻繁に遣り取りされるため、そこが狙われる。しかもPOSシステムからの情報を、暗号化して送っている企業は少ない。素のまま、名前やカード番号等を遣り取りする場合がほとんどだ。今回、ハッカーはターゲットののPOS周辺のネットワークに侵入して個人情報を盗んだ可能性が高い」。

米国では2007年に洋服等のディスカウンター、TJマックスで9000万ものビサとマスターカードの顧客データが盗まれる事件が起きた。1000万単位で顧客の情報が漏れる事件は頻繁に起こっており、今回のターゲットの事件にも「またか」という感想を持つ人が多いようだ。

「世界のクレジットカード被害の47％以上がアメリカで起こっている。頻発する一つの理由は、1960年代にできた磁気カードを持つ旧式のカードを使っているからだ」(セキュリティ専門家のラリー氏)。

スマートチップを2002年に取り入れていった欧州では、クレジットカード詐欺は今では年々減っている。なぜ、米国でスマートチップへの移行が進まないのかというと、ATMなど全てのシステムを変えるのに、多額の費用がかかるからだといわれている。

ターゲットは顧客に対し、利用状況を頻繁にチェックするよう警戒を呼びかけているが、同社の株価はこの事件の影響からか、11月中旬には67ドル近かった株価は12月中旬には62ドルまで下がっている。原因を究明し、安全対策をしっかり打つことで、早く信頼を取り戻すしかないだろう。