1月に入ってから、アメリカの小売り大手である「ターゲット」と、高級デパートの「ニーマン・マーカス」から、買い物客のクレジットカードやデビットカードの情報が漏洩していたことが明らかになった。
情報が盗まれたのは、1年で最大のショッピングシーズンが始まる感謝祭直後からクリスマス前までの3週間足らずの期間。その事実は、年が明けてしばらくするまで当のデパートにもわからなかった。
ターゲットのケースでは4000万人分のクレジットカード、デビットカード情報と7000万人分の名前や住所、電話番号、メールアドレスなどの個人情報が漏洩。デビットカードではPIN番号(暗証番号)も一緒に盗まれた。ニーマン・マーカスでも多数のカード情報が盗まれた模様だが、はっきりした数字はまだ明らかではない。漏洩は5ヵ月間続いていたという説もある。セキュリティー専門家らは、この2つ以外にも被害があると見ており、事件の全貌はまだ掴めていない。
店頭のカード読み取り機に
犯罪プログラムが侵入
ハッカーたちがどんな手口を使ったのかは今、少しずつ明らかにされているところだ。店頭のカード読み取り機に一瞬の間保存されるカード情報が、悪質ハッカーの的になったようだ。物理的に読み取り機に何らかのしかけが施されたわけではなく、遠隔地からマルウェア(犯罪プログラム)を仕込み、それがどんどん顧客のカード情報を剥がしていったということだ。
さて、こうして盗まれたカード情報はどのようにしてブラックマーケットで売られ、換金されているのだろうか。なお、ここからしばらくは、犯罪者の目線で記述するため、「危険=逮捕される恐れがある」「儲かる=被害額が大きくなる」という表現になることをご承知おきいただきたい。
今回の場合は、東欧やロシアのハッカーたちが関わっていると見られるようだが、この手の犯罪には複数のグループが関わっているのが通例だ。
まずは、マルウェアをプログラムして仕込むハッカーがいる。今回の事件からもわかるが、ハッカーは世界のどこにいても構わない。インターネットを介してセキュリティーが脆弱な場所を見つけ、攻撃を仕組んでくる。
その後、彼らが得たカード情報はブラックマーケットで売られる。信じ難いことに、ブラックマーケットはアマゾンなどの通常のオンライン・ショッピングサイトと何らしくみは変わることがない。つまり、物理的に取引するのではなく、ここにもデジタルとインターネットが浸透しているのだ。