TJX ハッキング事件から12年後の世界

今回の Defrag This エピソードでは、ハッキングの歴史の中でも特筆すべき事件、2007年の TJX のハッキング事件を振り返ります。この事件は、当時におけるアメリカ最大の消費者データ侵害事件でした。事件後、アメリカにおけるセキュリティとコンプライアンスへの姿勢はどう変わったでしょうか？

今回、TJX のハッキング事件を振り返ってみることにしたのは、幸運にも、以前 TJX のインフラストラクチャ・エンジニアであった Mike Drasher が、今イプスイッチの上級インテグレーション・エンジニアとして働いているからです。Mike は、2007年に TJX のネットワーク上の疑わしいアプリケーションに最初に気付いた当事者です。これをきっかけにして、攻撃が発見されました。

サイバーセキュリティの歴史という視点からかなり古い部類に属しますので、この事件を覚えていない人もいるかもしれません。まず、概要をおさらいしておきましょう。

米国史上最大のハック（当時）

2007年に初めて発見された、T.J.Maxx、Marshalls、HomeGoods の親会社である TJX Corporation (本拠地：ボストン) のデータ侵害事件は、最大9,400万件のデータレコードが漏洩した、当時の米国史上最大の消費者データ侵害でした。

ハックは2007年まで発見されずに見過ごされていましたが、ハッカーたちは2005年に小売店の WiFi 接続を通じて TJX ネットワークへのアクセスを獲得して、貴重なカード会員データを認識してキャプチャするスニファ・プログラムをインストールしました。カード会員データは、暗号化されることなく同社のネットワークを介して送信されていました。ハッカーたちは、2007年1月に発見されるまで、このプログラムを使用して18カ月間に数百万のクレジットカード番号とデビットカード番号を抽出しました。

ハッカー

TJX への攻撃を行ったハッカー集団は、アルバート・ゴンザレスをリーダーとする、世界中にばらばらに拠点を持つ個人10人のグループでした。主犯のゴンザレスは、犯罪を起こした時、シークレットサービスの情報提供者として働いていました。ゴンザレスは以前 ShadowCrew サイバー犯罪への関与で起訴されましたが、捜査官と協力して彼の共謀者に関する情報を提供したため告訴は却下されました。ゴンザレスは、これに懲りることなく、ハッキングフォーラムに、1,500万ドルを稼いで、ヨットを買って引退するのが目標だとの書き込みさえしました。ゴンザレスは、TJX 攻撃のほかにも、Dave＆Busters のハック、Heartland Payment Systems 攻撃などのハックにも関与しました。

ゴンザレスは、やがて Dave＆Busters のハックに起因する容疑で逮捕され、最終的には、TJX 攻撃、Dave＆Busters のハック、その他の複数の攻撃に対して、懲役20年の有罪判決を受けました。20年という刑期は、ハッキングや個人情報窃盗の罪で科されたものとしては最長の刑期です。

コンプライアンスへの影響

TXJ へのハッキングが起きた時点では、PCI DSS（Payment Card Industry Data Security Standard、クレジットカード業界のセキュリティ基準）は、2005年6月に導入されたばかりの、まったく新しいものでした。多くの企業が、まだ新しい規制についてどのように対処するべきかを把握し切れておらず、コンプライアンス徹底のためにはどうすればいいかも手探り状態でした。現在、GDPR 対策に頭を悩ませているデータ保護担当者には、簡単に混乱が想像できるのではないでしょうか。TJXは、データ管理の怠慢によって攻撃を可能にしたという過失があった点を固く否定しているものの、法廷で PCI DSS の12の原則のうち9つに違反したと指摘されました。

最終的には、TJX は和解に応じ、41の州に合計970万ドルを支払いました。このハッキング事件を契機に、クレジットカード業界は、小売業者のシステムに保存された顧客情報がデータ侵害の被害にあった場合は、責任は小売業者の側にあるとする法律を制定するよう要求し始めました。米国にはまだ連邦レベルの新しい法律はできていませんが、TJX や Heartland Payment Systems へのハッキング事件以来、企業はセキュリティをはるかに重要視するようになり、セキュリティ強化への取り組みに力を注いでいます。事件から12年が経過した今、GDPR が施行され、ブラジルや英国など世界中の多くの国で、そして米国では州レベルで、データ保護のための法令が検討、実施されています。

Mike Drasher は、当時TJXのオペレーティングシステムのメンテナンスとアップデートの担当者で、最初に不正なアプリケーションを発見しました。いったん削除したものの、数か月後に再発見し、セキュリティ部門に報告して、データ侵害の事実が発覚するに至りました。FBIも関与しての数週間の精査の後に、全容が明らかになりました。ストレスフルな眠れない夜が続きました。彼は、昨年までTJXに所属し、高度な訓練を受けたセキュリティ要員を雇うなど、TJXでのセキュリティへの姿勢が100％変わったのを見てきました。どの組織にも起こり得る問題で、攻撃された場合にすぐ検出し、迅速に適切な対処を行うことが重要だと指摘しています。特にクレジットカードを扱う会社は、顧客の信頼を受けてデータ処理していることをしっかり認識し、セキュリティ強化に努めるべきです。