サイバー犯罪グループ「JokerStash」(別名Fin7)は、高級デパート「サックス・フィフス・アベニュー」と「ロード&テイラー」から入手したクレジットカード500万枚を売りに出すと発表した。
盗難の経緯
盗難された金融データの追跡を専門とするサイバーセキュリティ企業、ジェミニ・アドバイザリーによると、クレジットカード情報は店舗のレジに悪意のあるソフトウェアをインストールすることで盗まれたという。このソフトウェアは2017年5月から先月までクレジットカード情報を盗み出していた。
ジェミニの研究者によると、ロード&テイラーのネットワーク全体とサックス・フィス・アベニューの83店舗が不正アクセスを受けたという。クレジットカードの大部分はニューヨークとニュージャージーの店舗から盗まれた。
JokerStashグループは、ホールフーズ、チポトレ、オムニ・ホテルズ&リゾーツ、トランプ・ホテルズといった大企業へのハッキングでも知られています。しかし、最近のサックス・フィス・アベニューとロード・アンド・テイラーへのハッキングは、500万枚以上のクレジットカード情報を入手したことで、最も大きな利益をもたらしたハッキングの一つだったようです。
カナダの小売グループであるハドソンズ・ベイ・カンパニー(HBC)は、サックス・フィフス・アベニューとロード&テイラーの両店舗に加え、ガレリア・カウフホフ、ホーム・アウトフィッターズ、人気オンラインショッピングサイトGilt.comといった小売ブランドを所有しています。しかし、これら3社はJokerStashによるハッキングを受けていないようです。
セキュリティアップグレードを無視するとハッキングされる
マールスク社の会長が最近述べたように、企業は自社のデバイスとネットワークを可能な限り安全に保護するよう努めることが不可欠です。そうでなければ、ハッキングされるのも時間の問題です。
サックス・フィフス・アベニューとロード・アンド・テイラーも、この教訓を身をもって学んだようだ。この2社は、レジをEMV「チップ&PIN」カードのみにアップグレードすることを躊躇している数少ない企業の一つだ。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
今、両社は否定的な報道や顧客の怒りに対処するだけでなく、今回のデータ漏洩の責任も負わなければなりません。2015年に可決された法律により、クレジットカードのデータ漏洩が発生した場合、小売店が責任を負います。ただし、EMVチップとPINカードを使用している店舗の場合は、責任は銀行に残ります。
ジェミニの研究者は、2つの小売チェーンの顧客に対し、カードの交換、または不審な取引を監視するための取引アラートの設定を推奨しました。サイバーセキュリティ企業であるジェミニは、今後数ヶ月で盗難カードを使った不正な対面購入が大幅に増加すると予想しています。
ルシアン・アルマスは、Tom's Hardware USの寄稿ライターです。ソフトウェア関連のニュースやプライバシーとセキュリティに関する問題を取り上げています。
