Global Payments:クレジットカード番号の

2012年3月30日、クレジットカードの決済処理を手掛ける米 Global Payments は、同社の決済システムに不正侵入があったことを認めた。2012年4月2日、同社 CEO は報道関係者やアナリストに対しての電話会見に応じ、今回の件に関する情報提供を行った。事態の詳細については、未だ不明な点が多い。だがこの事件が、サイバー犯罪者による財務データを取扱う組織に対しての脅威を強調するものとなったことだけは確かだ。
Global Payments CEO の Paul Garcia 氏は、電話会見で次のように語った。
「様々な憶測があるが、その多くは事実からかけ離れたものだ。我々は、流失した可能性があるのは北米利用者のカード番号のみで、最大で150万件であると考えている」
会見前には、今回の事件で流出したカード情報は1,000万件を超えるのではないかという推測もあった。だが Garcia 氏は、侵入されたのは一握りの限定されたサーバーのみだったと語った。また、流出したのはカード番号だけであり、カード所有者の名前、住所、銀行口座の情報が、犯罪者たちの手に渡ったとは考えられないことも強調した。
Garcia 氏は、今回のセキュリティ侵害では、不正な決済も発生していないとも述べた。
「加盟店のシステムや POS デバイスは巻きこまれてはいない。また、万が一、データの流出があった場合でも、利用者は完全に保護されていることは強調されるべきだ」
Garcia 氏によれば、今回の件は同社における最初のセキュリティ侵害事件であるという。
「我々は、このようなセキュリティ侵害を過去一度も経験したことはない。Global Payments が1年前にもデータ侵害に気づいていたのではないかという噂があるが、そのようなことは起こってはいない。もしそのようなことがあったとしたら、我々はその時点でそれを報告していただろう」
今回のデータ流出により、Visa カードは Global Payments に対して、公認サービスプロバイダー登録を抹消した。この件に関し Garcia 氏は、Global Payments は公認を取り戻すために、24時間体制で取り組んでいくと語った。
PCI データセキュリティスタンダード
PCI データセキュリティスタンダード(PCI DSS)は、クレジットカード情報を保護するために策定された、クレジット業界のグローバルセキュリティ基準だ。Global Payments もこの認証を受けていた。だが多くの専門家は、この基準は最低限のものに過ぎないと語る。
セキュリティベンダー Rapid7 の Marcus Carey 氏は eSecurity Planet に対し、Global Payments の件は、PCI DSS が最低限の基準であり、認証を取得したからといってその企業のセキュリティが高いことを保証するものではないことを証明したと語る。
「我々は顧客に対して、PCI DSSに準拠するだけでは不足であると伝えている。組織に対してのセキュリティ脆弱性を突く攻撃が止まることは考えられないので、組織は脆弱性管理に投資をしなければならない」
一方、Global Payments は、今回の同社に対するセキュリティ侵害は、PCI DSS に対してプラスの影響をもたらすとしている。
「今回の件から学んだ情報は、PCI-DSS をより良いものにし、すべての人のセキュリティをより高めることになる。サイバー犯罪者達は、日夜我々に損害を与えようとしている。我々は、最善を尽くして彼らのたくらみを阻止しなければならない。それこそが、いま我々が取り組んでいることだ」
Global Payments は、特設サイト「2012 Information Security Update」を立ち上げ、消費者および加盟店に向けて本件に関する最新情報を提供している。
Sean Michael Kerner は、eSecurity Planet および InternetNews.com の主任編集者。Twitter のフォローは@TechJournalist で。
[PR]
by pachifu | 2012-04-04 08:28