小売大手の米TJXが起こしたデータ流出事件について,同社から米国証券取引委員会(SEC)に提出された年次報告書で詳しい情報が明らかになった(関連記事)。この事件は,主に2005年7月から2007年1月の間に多くの店舗で利用された顧客のデビットカードとクレジットカード番号がハッカーに盗まれたもので,犯人はまだ逮捕されていない(ただし,盗まれたクレジットカード番号で買い物をしたと思われる人々は,捕まり始めている)。
特に問題視されている店舗は,「TJ Maxx」「TK Maxx」「Marshalls」「Home Goods」「HomeSense」「AJ Wright stores」「Bob’s Stores」「Winners」だ。該当する時期にこれら店舗で買い物したり返品したりした可能性がある人は,銀行や3大信用調査機関のいずれかに問い合わせた方がよい。こちらのWebサイトには,必要な対処に関する情報がうまくまとめてある。
金融機関のなかには,既に顧客のための対応を実施したところがある。場合によっては,該当期間中に問題の店舗を利用した顧客を特定し,新しいカードの発行まで行った。こうした対応は,今回のデータ流出によって派生する詐欺被害から顧客を守るのに役立つ。
この動きから,適切なセキュリティ対策を導入することの重要性がよく分かる。ウイルス対策ソフトウエアのバージョンを最新に保ったり,OSやアプリケーションの最新セキュリティ・パッチをこまめに適用したりといった作業がすべてなわけではない。一般家庭のユーザーなら,使いもしないポートはすべてファイアウオールで閉じておくべきだろう。ハッカーの標的になりやすい企業は,内部から外部へのデータ送信にも対策が必要だ。対策していれば,このところ増えている特定対象を狙うトロイの木馬などによる攻撃を受けても,侵入とデータ流出を阻止できる。
予防策も必要である。というのも,企業内ネットワークに存在するデータは価値が極めて高く,偶然または故意にネットワーク・セキュリティを損なう可能性のある数多くの“人間”が利用しているからだ。ネットワークを調査し,最大のリスクを見つけ出すことが大切である。こうすることで,可能性のあるリスクを最小限に抑え,組織にとって最も重要なものを守ることができる。TJXの事件では,データ流出防止ソリューションを使っていれば,データ窃盗防止に相当役立っていただろう。侵入防止システム(IPS)も,狙いを絞ったマルウエアの勝手を許さなかっただろう。
ハッカーとマルウエアは,以前とすっかり変わってしまった。最小限の対策で安心していられる状況ではない。自分自身や顧客のデータに対する注意が不十分だと,とても厳しい――特に金銭的な――結末が訪れるだろう。価値のある情報があれば,その情報のためにシステム侵入を図る人物が間違いなくいる。そうした人物は,既に侵入を試みただろう。
◆この記事は,マカフィーの許可を得て,米国のセキュリティ・ラボであるMcAfee Avert Labsの研究員が執筆するブログMcAfee Avert Labs Blogの記事を抜粋して日本語化したものです。
オリジナルの記事は,「Thoughts on the TJX Data Theft」でお読みいただけます。
