一年で最もニュースが飛び交う火曜日、ハートランド・ペイメントはひっそりと声明を発表し、同社のカード処理システムがハッキングされたことを明らかにした。同社はレストランから小売店、給与計算システムまで、25万社以上の企業にサービスを提供し、毎月1億件以上のクレジットカード取引を処理しているため、この大規模なデータ損失は各州の誰かが影響を受ける可能性が高い。
ハッキングの仕組みはこうです。ハートランドの処理センターへ送られる途中で、データスニッフィングソフトウェアがカードの磁気ストライプからクレジットカード情報を盗み取ります。カード番号、有効期限、銀行内部コードなど、カードの複製に必要な情報がすべて含まれています。個人口座への不正アクセスは検知が困難です。クレジットカード窃盗犯は、カードがまだ有効で不正請求が通るかどうかを確認するために、1ドル以下のカードで試しに使うことが多いからです。
ニューヨーク・タイムズ紙によれば、データ窃盗犯は5月には既にハートランドマルウェアを持ち込んでいたが、ハートランドは2008年晩秋までその存在に気づかなかったという。そしてハートランドは就任式の日にその発表を行った。
ハートランド社の社長兼最高財務責任者(CFO)であるロバート・ボールドウィン・ジュニア氏は、メディアに対し、影響を受けた人数を推定するのは時期尚早だと述べた。ボールドウィン氏は、2007年にTJXで発生した4,500万件のクレジットカードとデビットカードの番号が盗まれたデータ漏洩事件と比較するのは時期尚早であり、今回の事件を史上最大の金融データ漏洩と呼ぶのは不公平だと述べた。
データセキュリティアナリストはこれに異議を唱える。データセキュリティアナリストのアヴィヴァ・リタン氏はニューヨーク・タイムズ紙に対し、「訴訟費用を含めてすべてを合計すると、損失は最大5億ドル、つまりTJXの2倍に達する可能性がある」と語った。
では、ハートランドの次の一手は何か?USA Today紙は、ボールドウィン氏の言葉を引用し、ハートランドは「データが盗まれた被害者全員に対し、30州以上のデータ漏洩情報開示法を遵守するよう通知する」計画だと伝えている。30州とははるかに少ない。44州にはデータ漏洩情報開示法が既に制定されており、連邦法の制定も検討中だ。ボールドウィン氏の言葉から判断すると、ハートランドは、法律に関わらずすべての顧客にデータが盗まれたかどうかを通知するという余分な手間をかけるのではなく、州法を遵守し、最低限の対策のみを講じるつもりのようだ。
問題はさらに悪化している。USAトゥデイによると、セキュリティ企業CardCopsは、ハッカーが決済カード番号を一括してテストし、まだ有効かどうかを確認するケースが前年比20%増加していることを追跡している。「これらの番号は、ハートランドのような決済処理会社、あるいは小売業者ではないものの大量の顧客データにアクセスできる他の情報源から入手された可能性があります」と、CardCopsのダン・クレメンツ社長はUSAトゥデイに語った。
ハートランド社の行動は、否認の匂いがプンプンする。ハッカーが大手金融機関に侵入し、情報を盗み出すのは恥ずべき行為であり、企業の評判を間違いなく傷つける。しかし、もし当該企業が責任を受け入れず、顧客支援のための行動を取ろうとしないのであれば、責任の一端は同社にある。さらに、不況下で既に落ち込んでいる消費者信頼感をさらに悪化させるだけだ。
