米国の金融機関や小売業者が、欧州で広く使用されているスマートカード技術など、より強力なサイバーセキュリティ対策を実施していないことについて、先週の公聴会で米上院司法委員会の委員らから疑問視され、批判された。
リチャード・ブルーメンソール上院議員(民主党、コネチカット州)
上院議員らはまた、最近の注目を集めた情報漏洩後の通知手続きや、連邦法執行機関がサイバー犯罪者追及に十分な対策を講じているかどうかについても疑問を呈した。議員らは、世界のクレジットカード取引の半分を占め、データ漏洩の4分の1が米国で発生している米国消費者の脆弱性を繰り返し指摘した。
コネチカット州選出の民主党上院議員リチャード・ブルーメンソール氏は、公聴会での議論を踏まえると、修辞的な質問のように思われる質問を投げかけた。「米国はデータセキュリティ対策において他国に遅れをとっているという私の考えは正しいでしょうか?」
最近の違反事例
最近、大規模な顧客データ漏洩を明らかにしたターゲットとニーマン・マーカスの幹部も委員会に召喚された証人の中に含まれており、一部の議員は、業界がセキュリティ強化のための技術導入に遅れをとっていることに不満を表明した。例えば、ビザとマスターカードは2015年10月までにスマートカードの導入を発表しているが、そのような技術は既に他国で広く利用されている。
議員や証人たちは、連邦政府の基準や法律の欠如についても言及し、サイバー犯罪者が検知を逃れる高度なマルウェアを開発している現状において、より厳格な通知法の必要性も指摘した。現在、企業は侵害発生時に最大60日以内に顧客に通知しなければならない。例えば、高級小売店ニーマン・マーカスでのデータ侵害は昨年7月から10月にかけて発生し、ニーマン・マーカス・グループの上級副社長兼CIOであるマイケル・キングストン氏の証言によると、チェーン内の複数の店舗がそれぞれ異なる時期に影響を受けたにもかかわらず、侵入が検知されたのは1月2日だった。
同氏によると、この侵害に関するシークレットサービスの報告書では、マルウェアは「今回のケースのものと同等、あるいはそれよりも洗練されていないが、現在利用可能なセキュリティソフトウェアを使用した場合の検出率はゼロパーセントだった」と結論づけている。
つまり、政府が導入するあらゆる基準や法律は、進化する脅威に対応できるよう柔軟でなければならない、という点では証人たちも一致した。セキュリティソフトウェアベンダー、シマンテックのシニアバイスプレジデント、フラン・ロッシュ氏は、法律は「多層的」でなければならないと述べた。チップが埋め込まれ、取引ごとにデータが変化するスマートカードは、消費者をデータ盗難からより効果的に保護する手段の一つに過ぎないとロッシュ氏は述べた。二要素認証や取引の全段階でのデータ暗号化も、他のメカニズムとして有効だ。
「いかなる法律もそれを反映し、そうした層を課すべきだと我々は考えている」と彼は語った。
アップグレードがなぜこんなに遅いのでしょうか?
このような保護の必要性は、ターゲットへの侵入で最大1億1000万人、ニーマン・マーカスへの攻撃で最大110万人の買い物客が被害を受けた最近のデータ侵害のずっと前から明らかでした。ミネソタ州選出の民主党上院議員アル・フランケン氏は、世界のクレジットカード決済の4分の1は米国の買い物客によって行われているにもかかわらず、データ侵害の半分は米国で発生していると指摘しました。
アル・フランケン上院議員(民主党、ミネソタ州)
ターゲットは、情報漏洩が発生する前から店舗でチップ・アンド・ピン・カードの使用を導入しており、以前から導入に向けて取り組んできたが、他の小売業者が参加し、金融機関がスマートカードに移行しなければ、こうした取り組みは不十分だと、ターゲットの執行副社長兼CFOであるジョン・マリガン氏は指摘した。
データ侵害について、彼は「このような事態の再発を防ぐには、誰一人として単独では対処できません。力を合わせなければなりません」と述べた。
ダイアン・ファインスタイン上院議員(カリフォルニア州民主党)
カリフォルニア州民主党のダイアン・ファインスタイン上院議員は小売業者の通知手続きに疑問を呈し、約13年間データ漏洩を追跡してきたが、企業がなかなか報告しないのに不満を抱いていると述べた。
「最近まで、企業は名乗り出ようとしませんでした」と彼女は言った。キングストンに目を向け、ニーマン・マーカスで買い物をするが、「自分のデータが侵害されたという通知を受けた記憶はありません。いつ通知があったというのでしょうか? その間、買い物をしていたはずです」と付け加えた。
キングストン氏が、顧客への通知の送付時期や、同社がデータ漏洩にどう対処してきたかを説明したあと、ファインスタイン氏は、実際に漏洩に関する通知を受け取ったかどうか確認するつもりだと述べた。
法執行機関の尋問
公聴会が進むにつれ、議員らは連邦取引委員会、司法省、シークレットサービスの関係者に対し、サイバー犯罪と戦うために取られている措置や、犯罪者の行動の詳細について詳しく説明するよう求めた。
米シークレットサービスの犯罪捜査部門の副特別捜査官ウィリアム・ヌーナン氏は、組織化されたサイバー犯罪グループは規模が大きく広範囲に渡っており、窃盗のさまざまな側面を異なる人物が担当し、金銭の痕跡を隠す能力を持っていると述べた。
「彼らは仮想通貨を使って資金を移動させている」と彼は語り、それがこのような犯罪組織の摘発をさらに困難にしていると付け加えた。
サイバー犯罪の捜査と逮捕の難しさは、ロードアイランド州選出の民主党員で元連邦検事のシェルドン・ホワイトハウス氏を動揺させなかったようだ。ホワイトハウス氏は、司法省のミシリ・ラマン司法次官代理に対し、データ漏洩事件でサイバー犯罪者が起訴された件数について質問した。ラマン氏は過去の事例について情報を提供し、司法省はサイバー犯罪者を追及し、たとえ海外にいても起訴する「決意」を持っていると述べた。これは過去の事例と同じだ。
「実際、関係する数字は解決とは程遠い」とホワイトハウス氏は答え、こうした事件の捜査と起訴は「極めて困難」だと理解しているが、データ漏洩につながるサイバー犯罪は「史上最大の不正な富の移転」と呼ばれているため、連邦法執行機関は対応を強化する義務があると付け加えた。
