Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

Dixon Carphoneのカード情報漏えい事件

イギリスで家電販売店(Currys PC World等)を展開するDixon Carphoneが最大600万件のカード情報を漏えいした可能性があると報じられていました。

www.bloomberg.com

  • サイバー攻撃は6月(※初旬)に始まり、先週気づいた(※6月10日頃)
  • Currys PC World とDixion Travel Storesのプロセシングシステムに対してサイバー攻撃を受けた
  • 漏えいした可能性があるのは、600万件のクレジット/デビットカード情報と、120万件の個人情報(氏名、住所、メールアドレス)
  • 漏えいした可能性がある600万件のカード情報の内、580万件はチップ&PIN保護対象(ICカード10.5万件についてはEU圏外で発行されたカードであり、チップ&PIN保護対象外(磁気カード)であった。

 

◆キタきつねの所感

今の所、カードが不正利用されている形跡は無いということですが、漏えいしたクレジットカード情報のほとんどがICカードであった事もあり、偽造カードを作るといった攻撃は非常に難しい事が影響しているのかと思います。とは言え、セキュリティコードすら要らないECサイトというのは、残念ながらまだ日本にもありますので、対応済みの主要EC加盟店では無いと思いますが、漏えいしたカードを使った中小ECサイト経由での不正試行はこれから出てくるかも知れません。

 

事件の直接的な影響としては軽微なようですが、2つの点でこの事件報道が気になりました。1つが時期的な問題。5月25日に施行されたGDPRの巨額な罰金対象なのかどうか。時系列的にはハッカーの侵入が6月ですので対象内ではないかと思われますが、、、だとするとGDPR(英国?)初案件となったかも知れません。

www.thetimes.co.uk

“We will look at when the incident happened and when it was discovered as part of our work, and this will inform whether it is dealt with under the 1998 or 2018 data-protection acts,” the information commissioner said in a statement.

Bloomberg記事より引用)

 

Dixon側もとても気にしている事がよく分かるコメントが声明文に出ています。GDPR前と後で罰金額がまったく違いますので詳細調査の結果を注目したいなと思います(もっと前にハッカーに侵害を受けていた可能性もあるかも知れません)。

その結果、もしGDPR対象事件だったとするならば、どの位の罰金を課される判断が出るのか、日本企業はその経緯を良く見くべきかも知れません。

 

GDPRに比べるとインパクトがあまり無いのですが、もう1点気になった所は、プロセッサー(決済処理・決済代行等々)のサーバが襲われてデータが漏えいしている部分です。データを集中処理するサーバが多いのでハッカーから狙われやすい訳ですが、セキュリティ対策が相当打たれているはずなのにどうして漏えいまで行き着いてしまったのか、、、複数の事件記事を見てみましたが、ハッカーの侵害を受けた原因部分(脆弱性)はまだ書かれていませんでした。追加情報が出てきたら考えてみたいと思います。

 

Bluetoothヘッドセットのイラスト

 

更新履歴

  • 2018年6月30日AM(予約投稿)