個人情報と住基ネットを考えるサイト

100万件以上のクレジット番号が盗難

米連邦捜査局(FBI)が明らかにしたところによると、この1年で100万を超えるクレジットカード番号が、 複数の電子商取引サイトから盗まれたという。FBIは、ロシアとウクライナの組織的なクラッカー集団のしわざだとしている。

FBIのサイバー犯罪部門である『全米インフラストラクチャー保護センター』(NIPC)は8日(米国時間)、 インターネット小売業者やオンライン・バンキング会社に対し、データの保護により一層力を注ぐよう警告した。 そして、よく知られている複数のセキュリティーホールを修正するよう求めた。

NIPCによれば、クレジットカード番号の盗難事件はこの1年で増加しており、その増加傾向は、 ロシア国内でのクレジットカードの不正使用と一致しているという。

「捜査の結果、米国内のいくつかの電子商取引サイトのコンピューターシステムに侵入した、東欧、 具体的にはロシアとウクライナの、組織的なクラッカー集団を複数突き止めた」とFBIは述べた。

FBIは今回、今までの方針を破って進行中の捜査について語ったことになるが、 それは、公表することで捜査に支障をきたす可能性があるとしても、公に警告する必要があると考えたためだという。

FBIによれば、すでに何百という企業が被害を被っており、20州で40を超える捜査が進行中だという。

この組織的犯行に関わっているのは米国外の複数の組織的な犯罪グループだと、かねてから言われていた。

クラッカーらが利用しているのは、標的とするウェブサイトや商取引ソフトのよく知られたセキュリティーホールであるため、 NIPCは各社に対し、セキュリティーホールの修正を急ぐよう求めている。

顧客にとって、危険な商取引サイトで使われたクレジットカードを変更するのは面倒なことだ。 しかし、商取引サイト企業が負うリスクは、それどころではないとセキュリティー専門家らは言う。

カードが不正に使用された場合の個人の負担額には、50ドルという上限が法によって定められている。 一方、企業の側は顧客の信頼を失うことになる。盗まれたカードの持ち主との取引を失うことになるのはほぼ間違いない。

「電子商取引サイトは、他人の情報を託されているのだという自覚を持たなければならない」と語るのは、 コンピューター・ネットワーク会社、米プレディクティブ・システムズ社の法律顧問を務めるマーク・ラッシュ氏。 「電子商取引サイトは、クレジットカード、氏名、住所、購買習慣といった情報を託されている。 もっと真剣にその責任を負わなければならない」

NIPCの責任者であるマイケル・バティス氏は今年1月、 組織的な犯罪グループがクラッキング行為をして金を強奪する事態が周期的に見られると語った。 これらの犯罪の中に、どこかの政府からのサポートがあるものが含まれているかどうかは不明だが、 その可能性を探ることもFBIの捜査の一環だ。

　1999年12月には、あるクラッカーが米CDユニバース社から顧客30万人分のカード番号を盗んだ(日本語版記事)と主張した。 『マキシム』と名乗るそのクラッカーは、自分は19歳のロシア人だと語り、10万ドルの支払いを要求した。 CDユニバース社がこれを拒否すると、マキシムは数千枚分のカード番号を公開した。

また、2000年9月にはウェスタン・ユニオン社が1万5000人を超える顧客のカード番号を盗まれ(日本語版記事)、 5日間サイトを閉鎖した。

昨年12月には別のロシア人クラッカーが、オンライン小売業者の商取引を扱う『クレジットカード・コム』から、 5万5000枚以上のカードを盗んだ。 このクラッカーは10万ドルを要求したが、これが無視されたため、およそ2万5000枚分のカード番号をオンラインで公表した。

→主な流出事件へ