最大のカード情報漏えい? Heartland事件

Heartland Paymant Systemsのカード情報漏えい事件情報をまとめておく。
概要:
Heartland Paymant Systemsのカード決済システムに不正プログラムが発見された。
カード会員データが流出したと思われる。
もともとビザとマスターからの不正利用情報を基にした調査で発覚。
不正プログラムは最低a few weeks存在した。
流出件数は未公表、月間平均処理数が1億件とされることから、数千万件から1億件以上ではないかといわれ、TJX(4千万件以上)を上回る最大規模のカード情報漏洩ではないかということになった。
1/20に公表され、大統領就任式の陰に隠れようとしたのではないかと揶揄された。
米カード決済会社が不正侵入の被害に,過去最大規模のカード情報が流出か:ITpro

US credit card payment house breached by sniffing malware . The Register

12月にはオンライン決済業者CheckFreeがドメイン名の制御を失い、東欧の犯罪組織によるものといわれている。500万人に不正の可能性を通知した。
Heartlandは全米で第6位の決済業者。
Heartland breach raises questions about PCI standard’s effectiveness – Network World

By Ellen Messmer , Network World , 01/22/2009
Heartland事件とPCI DSS
Heartlandは4月にTrustwave社からPCI準拠の認定を受けていた。
PCIは週次のファイル完全性チェックを義務付けていて、この点で何か問題があったのではないか。
別の決済業者RBS WorldPayも12月に不正侵入、150万件のカード会員情報と、110万件のSSNが流出。11月10日に不正に気づいたが、影響を解明するのに1ヶ月以上かかった。
Heartland data breach sparks security concerns in payment industry
January 22, 2009 (Computerworld)
http://www.computerworld.com/action/article.do?command=viewArticleBasic&taxonomyName=knowledge_center&articleId=9126608&taxonomyId=1&intsrc=kc_top
同業他社はこの事件の詳細についての情報を切望している。
Henry Helgeson, president and co-CEO of Merchant Warehouse Inc., a Boston-based provider of payment card processing services and software. “Everybody who processes card information is dying to know how exactly this happened.”
今公表されているのは、ハッカーがカード情報を社内ネットワークで通信されている中から抜き出す機能を持った何らかのマルウェアを設置し、暗号化された通信経由でHeartland社外に持ち出していた、ということだ。
外部からの指摘まで不正に気づかなかったということは、PCIで規定されているセキュリティ管理策の一部が実装されていなかった、あるいは利用されていなかったのではないかという指摘がある。
Gartner Inc. analyst Avivah Litan の指摘:マルウェアに気づかなかったということは、定期的なファイル完全性監視を行っていなかったのではないか。
(11.5 ファイル整合性監視ソフトウェアを導入して…)
Mike Rothman, vice president of strategy at eIQnetworks Incの指摘:外部への通信の監視あるいはフィルタリングがなされていなかったのではないか、
(1.2.1 着信および発信トラフィックを、カード会員データ環境に必要なトラフィックに制限する。)
またファイアウォールやIPSのログ分析も怪しい
(10.6 少なくとも日に一度、すべてのシステムコンポーネントのログを確認する。)
流出したと思われるデータは、磁気ストライプ情報のいわゆるトラック1およびトラック2と呼ばれるデータ。未暗号化PIN,カード検証番号、SSN、ZIP、住所などは流出していない。
もし、被害規模が想像されているようなものだとしたら、カード会社などが全数を再発行することはないだろう。そのためのコストは6億ドルから10億ドルにも上るからだ。(Helgeson)
Heartland tries to rally industry in wake of data breach – Network World

By Ellen Messmer , Network World , 01/23/2009
http://www.networkworld.com/news/2009/012309-heartland.html
HeartlandのCEOがカード処理業界の中で情報共有の仕組みを提唱。
エンド間暗号化の重要性も指摘、ただし現状ではソリューションが存在しない。
Heartland Bank, BofA reissue cards after breach – St. Louis Business Journal:
Friday, January 23, 2009, 6:12pm CST
バンカメとハートランド銀行(Heartland Payment Systemsとは無関係)が、ビザ、マスターから不正利用の連絡があったカードについて再発行を開始。
発行数は未公表。