クレジットカードやデビットカードなどの決済処理を手がける米Heartland Payment Systemsは米国時間2009年1月20日,同社の処理システムが不正侵入の被害に遭い,カード情報が流出したと発表した。米メディアの報道によると,米国で過去最大規模の情報流出となる可能性があるという。
不審なカード決済に関して米Visaおよび米MasterCardから通報を受け,同社が調査を進めたところ,処理システムに不正なソフトウエアが組み込まれていたことが前週判明。同社のネットワークで処理したカード情報が流出していたという。これを受けて同社は,連邦捜査機関とカード会社各社に報告した。世界的に広がるサイバー犯罪による犯行の可能性があるとみて,米財務省検察局や司法省と密接に連携を進めているという。
流出したデータの内容について,同社の公式発表では,「買い物の情報,カード所有者の社会保障番号,暗号化されていない暗証番号(PIN),住所,電話番号は含まれていない」とするのみで,具体的にどのようなデータが流出したのか明らかにしていない。米メディア(New York Times)の報道では,同社社長兼最高財務責任者のRobert H.B. Baldwin Jr.氏の談話として,カード番号と有効期限,場合によってはカード所有者の名前が流出したと同社は考えている,と伝えている。
また流出したデータ件数についても,同社の公式発表では触れていない。米メディア(InfoWorld)の報道によると,同社は毎月1億件のカード決済処理を行っており,それだけのデータが流出した恐れがあるという。また,New York Timesの報道では,最大で6億件以上のデータが流出し得る状態にあったが,実際に奪われたデータはそれを大きく下回る可能性があるとしている。いずれの報道も,2007年に発覚した米小売り大手TJX Companiesの情報流出(約4500万件)を上回る,過去最高規模の流出となる可能性を指摘している(関連記事:米小売り大手のTJX,過去1年半の大規模な情報流出を確認)。
Heartlandによると,現在はシステムの保護を強化し,侵入は解消したとしている。カード所有者に対しては,毎月の利用明細をよく確認し,不審な点がある場合はカード会社に連絡するよう呼びかけている。第三者の不正利用による請求については,カード所有者に支払いの義務はないとしている。
[発表資料へ]