Forever 21のPoS侵害事件を調べてみた。

この事件も日本のニュースでは（まだ）取り上げられていないようなので、少し前の情報ですが書いてみます。Forever 21がPoSシステムへの攻撃を受けてクレジットカード情報が不正流出したようです。

Forever 21はサードパーティから店舗の決済カードデータが不正なアクセスを受けたことを顧客に知らせています。Forever 21は2015年に暗号化とトークナイゼーションのソリューションを導入していますが、被害を受けた端末には使われてなかったとのこと。2017年3月～10月に絞って（*つまり漏えいはこの期間が疑わしい）調査している。これ以上の情報は現段階では出せない。(*1)

◆キタきつねの所感

PCI DSSの専門家なら誰でも言うだろうと思いますが、非常にがっかりしました。TargetがPOSを襲われて大きな被害を受けたことから考えると、Forever 21はおそらくこの事件で訴訟問題を抱える羽目になるかと思います。それ以上に、この状態でPCI DSS準拠である、、、とはいえないことも大きな問題です。関連記事を読む限り、防ぐ手段は既に持っている（暗号化・トークナイゼーション）訳ですから、そのまま全ての店舗の全ての端末にこのソリューションが実装されていれば、この事件は起きなかったはずです。その意味では（運用上の色々な理由があったのかも知れませんが）運用ルール違反であり、会社としてのPCI DSS認定違反である、といえます。

この事件をきっかけに、下手をするともっと厳しくPCI DSS審査をしなければならない（特に審査対象システム・店舗のサンプリングのルールは厳しくなる可能性がありそうですが・・・）ことになるかも知れないなと危惧しています。

"Surprised and disappointed to hear this as it sounds like they weren’t (fully) PCI compliant. That is the first issue that they should disclose and whomever performed the audit should be held accountable. This continued poor hygiene needs to end,” Mike Kail, CTO at CYBRIC, said via email. (*3)

私だけではなく、別な専門家の方も上記のようにForever 21のPCI DSS認定に対する不誠実さを指摘しています。

f:id:foxcafelate:20171130111020p:plain