米国で最大150万人分のクレジットカード番号が流出――

 支払い処理サービス・ベンダー、米国Global Paymentsは4月1日夜、同社処理システムへの不正アクセスにより、最大150万人分のクレジットカード番号情報が“持ち出された”恐れがあることを明らかにした。
 米国決済大手のVisaとMasterCardは、米国国内の金融機関に警戒を呼びかけている。セキュリティ関連ニュースサイトの専門家、ブライアン・クレブス(Brian Krebs)氏は30日付記事で、最近の大規模情報流出により、1,000万人以上が影響を受ける恐れがあると報じた。
 同氏は支払い処理業者の名前を明らかにしていない。しかしながら、Global Paymentsはこの報道に続き、カード・データへの不正アクセスの可能性を3月初旬に断定したと述べた。
 Global Paymentsは1日、同社処理システムの影響範囲は北米限定であり、「第2トラック」のカード・データが盗み出された恐れがあると述べた。米国銀行協会(ABA)が制定した磁気カードの第2トラック・データ構造には通常、アカウント番号、カードの有効期限、場合によっては任意の情報が付加される。
 カード保持者の名前、住所、社会保障番号は流出していない、とGlobal Paymentsは述べる。「今日までのフォレンジック分析、ネットワーク・モニタリング(監視)、追加のセキュリティ措置を踏まえ、われわれはこの事件の及ぶ影響が限定的であると考えている」(Global Payments)
 同社は営業を続け、すべてのカード・ブランドに対する決済処理を継続すると述べた。しかしながら、報道によると、Visaは“適合サービス・プロバイダー”のリストからGlobal Paymentsを除外したという。
 Visaの広報担当者は2日、Global Paymentsの不正アクセスをめぐる報道に基づき、クレジットカード情報のセキュリティ基準、PCI DSS(Payment Card Industry Data Security Standard)バリデーション・サービス・プロバイダーの登録から同社を抹消したと述べた。通常のプロセスと同様、Global PaymentsはPCI DSSへの準拠を再実証する必要がある、と広報担当者は付け加えた。Visaの措置に対してGlobal Paymentsにコメントを求めたがすぐには回答を得られなかった。
 PCI DSSは、カード保持者のデータを取り扱う全てのシステムにおいて、完全に、正しく、一貫して実装されれば、最小限のセキュリティ標準に成り立つ、極めて効果的な基盤であると証明されてきた、とVisaの広報担当者は述べた。
 Visaは30日、同社の中核処理ネットワーク、VisaNetを含め同社システムへの侵入はなかったと発表した。同社は、Global Paymentsのシステム侵害により影響を受けるアカウント番号をペイメント・カード・イシュアーに通知した。これにより、不正利用を個別にモニタリングしたり、あるいは必要に応じてカードを再発行したりするなど、消費者を保護する対策を講じることができる、と同社は述べる。
 Visaの声明によると、ペイメント・カード情報を取り扱う企業は、最高水準のデータ保護標準に順守することで、顧客の金融情報に対するセキュリティとプライバシーが適切に保護されることを期待しているという。
 MasterCardは30日、アカウント情報漏洩の可能性について調査中であると発表したが、同社自体のシステムはいかなる影響も受けていないと述べた。
(John Ribeiro/IDG News Serviceバンガロール支局)
[PR]
by pachifu | 2012-04-03 20:50