Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

Hy-Veeからのカードデータ漏洩

PCI DSS クレジットカード情報漏えい事件 海外事件 つぶやいてみた。

米国の中西部でスーパー等を展開するHy-Veeから漏洩したカード情報がDarkWebで販売されているとKrebs on Securityで報じられていました。krebsonsecurity.com

 

今週の火曜日に、ハッキングされた商人から盗まれたクレジットカードやデビットカードのデータを販売する人気のある地下店舗の1つが、米国35州のカード所有者に属する530万を超える新しいアカウントを発表しました。現在、複数のソースがKrebsOnSecurityに、米国中西部全体で245を超えるスーパーマーケットのチェーンを運営するアイオワ州の会社であるHy-Veeが運営する、侵害されたガスポンプ、コーヒーショップ、およびレストランからデータが来たと伝えています。

デモインに本拠を置くHy-Veeは、8月14日に、一部のHy-Vee燃料ポンプ、ドライブスルーコーヒーショップ、レストランでの取引を処理する支払い処理システムに関連するデータ侵害を調査中であると発表しました。

(Krebs on Security記事より引用)※機械翻訳

 

■公式発表 Notice of Payment Card Data Incident

 

◆キタきつねの所感

Hy-Veeは米国の中西部でスーパーマーケット他を展開するチェーンです。このHy-Veeの店舗POSで利用されたものと思われるクレジットカードデータが、DarkWebでも有名な販売サイト、JOKER's STASHで530万件が販売され始めたという記事です。

Hy-Veeは8/14に調査中のニュースリリースを出していますので、ほぼHy-Veeからの漏洩で間違いないのかと思います。

 

Our investigation is focused on card transactions at our fuel pumps, drive-thru coffee shops, and restaurants (which include our Market Grilles, Market Grille Expresses and the Wahlburgers locations that Hy-Vee owns and operates). These locations have different point-of-sale systems than those located at our grocery stores, drugstores and inside our convenience stores, which utilize point-to-point encryption technology for processing payment card transactions.

(公式発表より引用)

 

訳文はつけませんが、公式発表を見ると、スーパーマーケットの店舗やドラッグストア等はP2PE(エンドートウーエンド暗号化)ソリューションを導入済であった事から、Hy-Veeの調査は、これら以外の給油所やコーヒーショップ、レストラン等に焦点を当てて調査中となっています。これらの場所では違ったPOSシステムを使っていた様です。

 

Target社や、ホームデポなどのPOSシステムからカード情報が大量に流出した事件が続いてましたが、さすがにこうした店舗では暗号化技術(P2PE)やPCI DSS(PTS)導入が進んでおり、犯罪者はサプライチェーンの下位」を狙ったと、Krebs氏は分析しています。

 

JOKER's STASHのカード販売のリリース・・8/20にUPされた様です。

f:id:foxcafelate:20190824165835p:plain

※Krebs on Security記事より引用

 

中を見ると530万件(全米から漏洩)、全米35州、3万のBIN、米国だけでなく欧州、アジア等(100か国以上)のデータを含まっている・・・とあります。

 

米国ではEMV化が進み、データを窃取しやすかった磁気カード取引が大分減少したので、こうした対面加盟店からの漏洩事件は減っていたのですが、久々に大型の漏洩事件が発生した気がします。

 

気になる所で言えば、調査対象が、ガスステーション(※EMV化は2020年まで猶予がある)だけでない所は少し怖いところです。

ガスステーションは決済端末のIC化がブランドルールで2020年までの延長が認められている訳ですが、それ以外のドライブスルー、コーヒーショップ、レストラン・・・こうした形態に関してはPOSのEMV化=ICカード対応が必須なのですが、これらの端末、あるいは端末から情報が流れるネットワークや、サーバからデータ漏洩がした可能性がある、もしそうであるならば日本の対面加盟店も2020年に向けてICカード化を進めている訳ですが、同様な脆弱性がある、あるいは攻められる可能性がある・・・少し怖い気がします。

※これらの店舗ではPCI DSS準拠だったと思われます。(=日本のカード情報非保持以上に厳しい対応をしていたと推測されます)

 

 

余談ですが、Krebs氏の記事では、DarkWebでのカードデータ販売額は、1件17ドル~35ドル(1800円~3700円位)となっていました。(つまりこの数倍以上の不正利用ができると、販売者側は考えているのだと思います)

 

DarkWebで販売されているデータは、磁気カードのデータだけの様ですので、モニタリング対象に入ってしまえば、そう大きな被害には結びつかないかとは思いますが、カードの再発行など莫大な事後費用を考えるとHy-Veeだけでなく、日本の対面加盟店(百貨店やスーパー等)もHy-Veeの事件詳細を受けて、自社のセキュリティを見直す事が必要かも知れません。

 

  

 

 

日本人のためのパスワード2.0   ※JPAC様 ホームページ

7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。

 

 

f:id:foxcafelate:20190824163841p:plain


 

更新履歴

  • 2019年8月24日PM(予約投稿)