半年ぶりのブログであります。2014年になってもう10日もたってしまったのだが、2013年のアメリカは「データは常に危険にさらされている」ということが明快になった年でありました。NSAとかSnowdenとか。

そしてその締めくくりは米国リテールチェーン大手、TargetのPOSデータ盗難。日本でもニュースになったようだが、全2000店舗弱の店内POSシステムがハックされ、買い物した人のカード情報が根こそぎ盗まれてしまった。ハックされた期間は11月27日から12月15日の2週間強、盗まれたカード情報はなんと4000万枚分。（追記：その後1億1千万枚かも、と上方修正された）

Target POSハック事件

Targetは、なんといいますか、イオンかイトーヨーカドーか、という感じで、日用雑貨、化粧品から電化製品、一部食品まで手広く揃っていて、お手頃価格でその割りに結構センスがよい。比較されるのはWalmartだが、買い物する人の平均年収は、Walmartが3−6万ドルなのに比べ、Targetは6万4千ドルと高め。

そして、そのTargetの全1921店舗のPOSデータがくまなく盗まれてしまったわけです。Targetの年間売り上げは733億ドル、7兆円超。比較で言うと、ダイエーを連結したイオンの売り上げが6兆円超。イオン系列の全小売店で買い物した人のカード情報が３週間、悪者の手に流出し続けた、みたいな感じをイメージして頂けると衝撃度がご理解頂けるでしょうか。

私の周りでも、多くの人が被害にあっており「Targetで使ったカードで、別のお店で買い物しようとしたら使えなくなっていて、カード会社に問い合わせたら、不正な利用があったのでストップした、と言われた」とか。

「盗まれたのはTargetのストアカード情報だけでしょ？」と勘違いしていた友達もいて、「どんなカードも全部だよ」と言ったら、「えっ、私はどうしたらいいの？」と焦っていた。

正解は、カード会社に電話して、カードをキャンセル、新しいカードを再発行してもらう、です。

（カード会社等は「不正利用があればその時点で解決するからキャンセルしなくても良い」などと発表しているのだが、お勧めはやっぱり再発行です。）

お買い物好きなうちのダンナももちろん期間中Targetで買い物していたのが、たまたま人からもらったギフトカードを使っていたのでセーフ。

ATMカードも

ちなみに、アメリカは銀行発行のデビットカードが普及している。ATMカードにMasterやVisaなどのマークが入っていて、まるでクレジットカードのように使える、というもの。ただし、カードと違って1ヶ月まとめて支払うのではなく、使うたびに口座から直接引き落とされる。

Targetデータ盗難では、もちろんデビットカードの情報ももれなく盗まれた。デビットカードの利用にはATMの暗証番号が必要で、この暗証番号も盗まれてしまった。しかしTarget側は、

「暗証番号は厳重に暗号化されているので、盗まれても解読されることは無い」

と発表している。しかしですね、そんなこと言ったらPOSシステムだって厳重なセキュリティで守られていたはず。それが盗まれたのに暗証番号は大丈夫、と言われても中々信用できないのであります。

実際、「銀行口座を見たら残高ゼロだった」という人もニュースで複数登場している。（この人とかこの人とか。ホントかどうかしらないが）。

（なお、クレジットカードの方がトラブル発生時の補償額も大きいので、アメリカではなるべくデビットカードよりクレジットカードを使った方がいいですよ。）

ブラックマーケットで流通するカード情報

今回の事件発覚の経緯は、12月18日にジャーナリスト・ブロガーのBrian KrebsがTargetがセキュリティ侵害の調査中とブログで書いたこと。クレジットカード発行元銀行の人から聞いた話として、ブラックマーケットで大量のカード情報が出回っており、そこから自社発行カードのデータを買って解析したところ、共通項は「11月27日から12月15日の間にTargetで利用されている」ことだった、と。

翌19日朝にはTarget自らデータ盗難があったことを発表。

このニュースに全米が泣いた！泣きながら

a) 自分は期間中にTargetに行ったか？

and/or

b) どのカードを使ったか？

と悩むことになったわけです（それだけ広く使われるお店なので）。

ちなみに、盗まれたカード情報は、即座に小割りにしてブラックマーケットに登場している。

今回はRescatorという盗難カード情報専門のオンラインショップが主たるデータソースのようだが、こちらに詳しくこのショップの説明が書いてある。スクリーンショット付きで中々読み応えがあります。

Rescatorはなかなかよくできていて、発行元、カード種類、有効期限、国、有効期限などで検索して、欲しいカード情報だけピンポイントで買うことができる。どこから盗んだかは「base」というタグがつけられていて、今回のTargetのデータはTortugaというbase。このTortugaバッチを宣伝するためのロゴまであって、キャッチフレーズは

Valid 100% Rate

State, City, Zip Code

となっている。「どれも有効なカードで、州、市、郵便番号付き」ということですね。なんで場所情報が必要かというと、カードユーザーが普段買い物しているところから遠い場所でカードを使うと、カード会社がそれを検知、不正利用のフラグがたって、利用が止められてしまうからです。「市と郵便番号」は、この手のブラックマーケットのショップ情報としては結構ユニークで、そのカードが使われたTargetショップの所在地情報を元に付け加えられたものらしく、これにより不正利用成功確度がかなりあがるようだ。

しかも、このショップ、ショッピングカートに入れたところで、そのカードがまだ有効かどうか確認して、有効なものだけを買うことができる。いや、犯罪系の技術力と細やかな心遣いってホントすごいですよね。

なお、今回の盗難カード情報のお値段は、というと１枚あたり20〜100ドルとのことでございます。米国外のカードの場合は135ドルまで値が上がることも。

当然のことながら、ブラックマーケットからカード情報 を買うには、クレジットカードでの支払いはできず、Bitcoin、Litecoin、WebMoney、PerfectMoney、または Western UnionかMoneyGramで送金が必要。

そして、このRescatorというショップをやっていると思われるのは、ウクライナ人のAndrew Horirevskiという青年だそうです↓　どうやって彼を突き止めたかは、偉大なるBrian Krebsの長大なブログをご覧下さい。

今回のTarget事件は、発覚から追跡調査まで、最もコアな情報の発信元が個人ブログ、というのも中々見応えのある事件であった。（個人、といってもプロですが）。

映画にならない大犯罪

さて、ハッカー側の利益を見ると、低く見積もって、カード一枚分が20ドル、4000万枚のうち1000万枚売れたとしても2億ドル、200億円でございます。しかも、ハッカーはおそらく東欧かロシアのチームと考えられており、犯罪のターゲット国と犯罪者の所在国が遠く離れているのでなかなか捕まらなそう。

しかし、今回のような事件は、映画にしたらもの凄くつまらないですよね、多分。ハッカー数人が、カチカチカチとキーボードを打ち続け、時々「POSシステム侵入成功」とか「データ売れた」とかのチャットが画面にポコッと登場するだけで終わってしまう、というのを想像するんですが。多分同じ部屋で働いていても、口もきかずにチャットしてるだけではなかろうか。一緒にご飯食べに行ったりはするのかなぁ？実はお互い顔も知らなかったりして。どう思います？

おまけ（私も昔ATM情報盗まれました）

今回は期間中Targetで買い物をしていなかったので私は無事だったが、２年ほど前にATMカードを不正利用されたことがある。誰かが私のビジネス口座のATMカードを偽造して、100キロ以上離れたところのATMから1000ドル引き出したのです。そういう記録をよく見ていない私は、2ヵ月後、経理をお願いしている方に「こんなところ行った？なんに使ったの？」と聞かれてはじめて、「へ？」と気づいた。

銀行に電話したら

「あー、データ盗難事件があったので、あなたのカードもその一部ですね。1000ドルは口座に戻しておきます。今のカードは無効にして、新しいの送ります」

とサラーリと言われました。なんか大事件な気がしたんだけど、そんなものなのか・・・、とその時は思ったのだが、結構大事件だよね。クレジットカードだったら、少しでも怪しい利用をするとすぐ止まるけど、ATMカードは世界中どこの銀行でも使えちゃうし・・・・・。（日本のATMカードはほとんど使えませんがw）。

ちなみに、この時とは別に、銀行からプロアクティブに電話があり

「データ盗難事件があったので、念のため新たにATMカードを発行しますので、今あなたが使っているカードは無効になります」

と言われたことも、これまでに1〜2回あった。アメリカ在住で心配な方は、チェッキングアカウントに全財産入れておかない方がいいですよ。