大手小売チェーン3社は最近、1億人を超える顧客の機密データが漏洩した大規模なデータ侵害の被害を受けたことを認めました。しかし残念なことに、ターゲット、ニーマン・マーカス、マイケルズの事例は、すぐには消えることのないトレンドの始まりに過ぎません。
ベライゾンが2013年5月に発表した年次データ漏洩調査報告書(DBIR)によると、2012年に確認されたデータ漏洩の24%が小売・飲食業界に影響を及ぼしており、これは金融業界に次いで2番目に多い割合です。小売・飲食業界では、合計156件のデータ漏洩が確認されました。
最近注目を集めた3件の事件では、いずれも攻撃者がPOSシステムにマルウェアを仕掛け、何も知らない買い物客からクレジットカード情報を収集できたようです。ターゲットの侵害では最大1億1000万人、ニーマン・マーカスの侵害では110万人の顧客が影響を受けました。マイケルズ・グループの侵害の規模は依然として不明です。他の小売業者も同様に侵害を受けており、まだ気づいていないだけの可能性も十分にあります。
次の大規模な小売業者のデータ侵害は、私たちがまだ知らないだけで、すでに発生している可能性が高い。
「攻撃者はもはや自由にスパムを送信しません」と、情報セキュリティフォーラムのグローバルバイスプレジデント、スティーブ・ダービン氏は述べています。「彼らはますます標的を絞り、潜在的な標的の習慣や嗜好を学習して、マルウェアを意図したユーザーに合わせてカスタマイズしています。この脅威が減少する可能性は低く、より標的を絞った攻撃は、追跡、分析、そして防御を困難にしていくでしょう。」
この傾向を助長する要因はいくつかあります。まず、クレジットカードデータと関連する顧客情報は、攻撃者にとって金鉱です。これらの情報はクレジットカードの複製に利用される可能性があり、関連する個人情報はさらなるクレジット詐欺や個人情報窃盗に利用される可能性があります。
昨今、買い物客は現金や小切手を使うことはほとんどありません。ほとんどの顧客はクレジットカードまたはデビットカードで決済を行うため、小売チェーンはサイバー犯罪者にとって格好の標的となっています。加えて、多くの小売チェーンでは低賃金の仕事と高い離職率を背景に、従業員が攻撃に加担し、マルウェアのエクスプロイトを仕掛けて金儲けを企むリスクが通常よりも高くなっています。
解決策は何でしょうか?販売時点におけるより包括的な暗号化が効果的でしょう。また、顧客情報とクレジットカード情報すべてが、取引開始から転送中、そしてサーバーへの保存まで、エンドツーエンドで暗号化されていることも重要です。しかし、これらのいずれもデータ漏洩を完全に防ぐ保証にはなりません。
より良い解決策は、顧客側から変化を起こすことです。スマートチップを搭載したクレジットカードやデビットカードを導入すれば、磁気ストライプのデータのみを使ってサイバー犯罪者がクレジットカードを複製するのを防ぐことができます。しかし、それでも、物理的なカードをスワイプしないオンラインショッピングなどにおけるクレジットカード詐欺を減らすことはできません。そうなると、銀行やクレジットカード発行会社は二要素認証の導入を検討すべきです。ユーザーにクレジットカード情報に加えて暗証番号の入力を求めるようにしましょう。
確かに、クレジットカード取引データを傍受できる攻撃者はPINも取得できる可能性があり、そうなるとクレジットカード詐欺防止におけるPINの価値は失われてしまうでしょう。しかし、小売業者、銀行、そして顧客が協力して取り組むことで、このようなデータ侵害の機会を大幅に減らすことができます。
