シティグループは、同社の「シティ・アカウント・オンライン」ウェブポータルにおけるセキュリティ侵害により、北米の顧客の1%、推定21万人が影響を受けたと報告しました。シティグループへのハッキング攻撃は、今年に入って様々な企業に対して報告された一連のセキュリティ侵害の最新の事例です。
世界最大級の銀行の一つで、米国に2,100万人の顧客を抱えるシティグループから、クレジットカード所有者の氏名、口座番号、そしてメールアドレスなどの連絡先情報が盗まれました。シティグループによると、社会保障番号、生年月日、カード認証コードは侵害を受けていないシステムに保存されていたという点が唯一の救いです。ハッキングは5月初旬に発生し、フィナンシャル・タイムズが今朝(登録制)に報じた時点で、同社は初めて事実を公表しました。シティグループは、現在、法執行機関と連絡を取っていると述べています。
シティがハッキングについて沈黙していた理由
データリスク管理会社Identity Theft 911の最高情報セキュリティ責任者、オンドレイ・クレヘル氏は、詳細の公表を遅らせることは場合によっては必要であり、「ハッキングの範囲や盗まれたデータを明らかにするフォレンジック調査など、複数の要因に依存します」と述べています。法執行機関も延期を要請できます。ただし、各州の法令によって通知要件は異なります。
シティの代表者はロイターに対し、ハッキングの再発を防ぐため「強化された手順を実施した」と述べた。
シティは影響を受けた顧客に連絡を取ったとしているが、盗まれたのはクレジットカード情報のみだとしているにもかかわらず、フィナンシャル・タイムズ紙はデビットカードが停止された個人とも話をしたと報じている。顧客が初めて知ったのは、小売店でカードが拒否された時だった。これは恥ずかしいことであり、このような事態を知る最良の方法とは言えない。
2011 年はハッキングの年か?
最近、ソニー、Gmail、防衛関連企業ロッキード・マーティンなど、知名度の高い企業へのハッキング攻撃が相次いでいるが、銀行へのハッキングは稀だ。クレヘル氏によると、銀行のウェブサイトは通常、堅牢なセキュリティ対策が施されているという。
これらのポータルは、内部で脆弱性がないか常に監視・スキャンされています。しかし、たった一つの脆弱性を発見したハッカーはアクセスできてしまいます。企業は脆弱性を測定し、それを解消するために多くの技術的評価を実施していますが、ハッカーは依然としてシステムを悪用する方法を見つけているようです。
ハッキングは別のものへと進化している
ハッカーは種として進化しているようだ、とクレヘル氏は言う。
「最近のハッキングは、データの収益化、つまりアンダーグラウンドのサイバーワールドで利益を上げることを目的としている。おそらく、消費者データ、特に金融データが標的となり、サイトの改ざんがもはや流行らなくなったのは、そのためだろう。」
3月には、メールマーケティング会社Epsilon Interactiveがハッキングされ、シティグループの口座保有者などの情報が盗まれました。このハッキングが5月の攻撃のきっかけとなったかどうかは明らかではありません。
名前、口座番号、メールアドレスだけではサイバー犯罪者が口座データにアクセスすることはできませんが、効果的なフィッシング攻撃を行うには有効です。例えば、犯罪者はメールに顧客のカード番号を記載し、偽のウェブサイトへのリンクをクリックして、さらに詳しい情報を入手しようとする可能性があります。
ハッキング発生のわずか数日前、シティグループのグローバル企業決済部門責任者(元クレジットカード部門責任者)であるポール・ギャラント氏は4月、ロイター通信に対し「セキュリティ侵害は起こるものです…銀行業界の使命は、顧客基盤の安全を確保し、お客様が金融取引や決済について安心していただけるようにすることです」と述べていた。さらにギャラント氏は、「シティグループはセキュリティに莫大な費用を費やしています。私たちはセキュリティを非常に真剣に受け止めています。これ以上真剣に取り組む余地はないと思います」と付け加えた。
