今年初頭に「TJマックスによるカードデータ漏洩ケースで思うこと」でメルマガにしましたが、TJマックスがSECに提出した書類によって、約4,560万件のクレジットカード、またはデビットカードのデータが流出したことが判明しました。当初は4,000万人分と言われていましたので、500万人ほど増えたことになります。

これは05年に発生したカードシステムソリューションという会社による漏洩数、4000万件を超えて史上最大となるそうです。

また同社はレシートなしで商品を返品に来た人に運転免許証の提示を求めているのですが、提出書類によるとこのデータも45万5000人分が漏れたたとのこと。

同社によると、カードデータの3分の2は流出した時点で期限が切れていたか、磁気ストライプに含まれているセキュリティコードがなかったそうなので、実質的に影響を被る可能性があるのは3分の1だとしてます。

先週にはこのデータを利用して100万ドル近い買い物をしていたグループ10人が逮捕されてます。またTJマックスに対する訴訟も起きてます。

盗まれた手口等現在捜査中なのですが、非常に巧妙のようです。
「どれだけ漏れたのか分からないところがあって捜査が困難を極めている」というTJマックス広報のコメントもあります。つまりトランザクションデータは一定期間を置いて削除されるものであり、漏洩している時点から企業が気づいた時点までのデータが削除されていて、この期間のデータが盗まれたのかどうなのか分からないといわけなんですね。

さてこの話で思うことは、100％安全なセキュリティシステムなど存在しないのではないかということなんです。

例えばロイヤルティカードと指紋認証をくっつけるシステムがすでに登場してますが、情報が漏れることは絶対無いと言い切れるわけがないんですよね。TJマックスは例外です、なんてことはありえない。

指紋データと一緒にクリティカルな情報が漏れたら・・・。
おそらく近所のSMが導入したとしても利用することはないだろうな、なんてことを思ってます。