TJXのカードデータ流出事件――10-K報告書から読み取る問題点：Column

4650万件という過去最大規模のカード番号窃盗事件を引き起こした米小売大手のTJX。本稿では、企業が同社の失敗から得られる教訓について述べる。

[Joel Dubin，TechTarget]

　それはTJX Companiesにとって最悪の出来事だった。2007年1月、米小売大手TJXのクレジットカード決済システムで深刻なデータ流出事件が起きたのだ。同社が3月末に証券取引委員会に提出した年次決算報告書（10-K）によると、全部で4650万件のカード番号が盗まれた。これは、データ流出事件の規模としては過去最大となるものである。

　10-K報告書を検討すれば――そしてメディアの報道に基づいてその行間を読めば――クレジットカードデータの処理における基本的なセキュリティの驚くべき欠如ならびに業界標準に対する準拠違反があったことが分かる。データ流出の規模とタイプから判断すると、これは内部の犯行であったのではないかとの憶測もある。いずれにせよ、アクセス管理の基本原則を厳しく遵守し、標準への準拠――特にPayment Card Industryデータセキュリティ標準（PCI DSS）への準拠――をきちんと監査していれば、データ流出を防ぐことができた可能性がある。12項目の基本要件が定められたPCI DSSも完全なものではないが、クレジットカード処理のセキュリティを確保するための基本的な指針を提供してくれる。本稿では、企業がTJXの失敗から得られる教訓について述べる。

多過ぎるデータ、長過ぎる保存期間

　まず、TJXは業務処理が完了した後に、取引記録と顧客情報をセキュアな方法で保管していなかった。これは保管されたカード保有者のデータの保護を規定したPCI DSSの要件3に違反する。10-K報告書によれば、TJXはどの顧客データが盗まれたのかを完全に把握していない。これは、盗まれた可能性があるデータの一部が、その後の通常の業務手続きの中で削除されたことが理由の1つである。もう1つの理由は、侵入者は痕跡が残らない手口を用いたため、盗まれたデータを特定できなかったことだ。

　しかし10-K報告書によれば、2005年に盗まれたデータは、2002年12月31日から2004年6月28日までの間に米国、プエルトリコおよびカナダの店舗におけるすべての取引の50％にも上る可能性があり、これらのデータはマサチューセッツ州フレーミンガムにあるTJXの施設で保管されていた。PCI DSSの3.1節では、データは業務、訴訟、法規制にかかわる目的に必要な期間だけ保持すべきであると明確に規定されており、TJXではこの規定が守られていなかったようだ。

　また、PCI DSSの3.2.1項では、Track 2データ（クレジットカードの磁気テープ上に記録されているカード保有者の名前、主要口座番号、サービスコード）は一切保存すべきではないとしている。10-K報告書によると、こういったデータは2003年9月2日以降、フレーミンガムのシステムに保管されなかったとしているが、これは逆に言えば、この種のデータが保管されていた時期があることを示唆している。

　加えて、保管中の顧客データや外部に送信される顧客データの暗号化の管理も十分ではなかったようだ。PCI DSSの3.4節では、「鍵管理プロセスを用いる強力な暗号化技術」による暗号化は、顧客データを安全に隠す4つの手法の1つであるとしている。

　さらに恐ろしいのは、2006年に英国ウォトフォードの施設で盗まれたデータの一部は、決済カード承認プロセスで送信中に捕獲されたという報告書の記述である。これにはTrack 2データも含まれており、送信時にはどのデータも暗号化されていなかった。これは、インターネット経由で送信される顧客データの暗号化を義務付けた4.1節の規定に違反する。4.1節では、こういったデータをワイヤレスで送信する際にはWPAまたはWPA2を使用して暗号化することも義務付けている。侵入者はTJXのワイヤレスネットワークの弱点を利用したのではないかという指摘もある。

誰が鍵を保管するか