POSレジに対するマルウェア攻撃による個人データ漏洩にICOが旧法最高額の制裁金


POSレジに対するマルウェア攻撃による個人データ漏洩にイギリス監督機関(ICO)が旧法最高額の制裁金

イギリス監督機関ICOは、POSレジシステムに対するマルウェア攻撃で、顧客の個人データが少なくとも約1400万件漏洩した事案について、50万ポンドの制裁金を科すことを決定した。漏洩はEU一般データ保護規則(GDPR)施行前に発生したことから、処分はイギリス国内法である旧1998年プライバシー法に基づくものであるが、同法による最高額の制裁金額であり、2018年のFacebook IrelandとEquifaxに対するものに続き3件目である。

イギリスの家電小売り全国チェーンであるDSG Retail LimitedのPOSコンピュータシステムは、2017年7月24日から2018年4月25日までの間、外部からの攻撃を受けた。攻撃の事実は2018年4月5日に外部情報により認知された。その後DSG社は社内対応チームを立ち上げるとともに事実関係を調査し、攻撃者がインストールしたマルウェアが、DSG社傘下のCurrys PC WorldとDixon Travelの店舗に設置された5390台のPOSレジ端末で稼働していたことを確認した。DSG社はその後、約553万枚のEMV(ICチップが組み込まれたクレジットカード)と約5万3千枚のnon-EV(従来の磁気ストライプ型のクレジットカード)が影響を受けたことを確認した。同社は、カード保持人の氏名の漏洩が確認されなかったEMVについて、クレジットカード番号だけでは個人データに該当しないと主張したが、ICOはEMVとnon-EMVの両方の漏洩データ計約565万件を個人データに認定した。

ICOが実施した外部コンサルタントによるセキュリティ評価の結果、DSG社は以下のISMS上の問題が存在していたことが明らかになった。
同社の店舗ネットワークとPOS端末が、クレジットカード決済システムの情報セキュリティの業界標準であるPCI-DSSを順守しておらず、機密性、完全性、可用性に重大な脆弱性があった。
漏洩インシデントが発生した後、攻撃対象のPOSネットワークの分離が不十分だった。
POS端末に合わせたローカルファイアウォールが設置されていなかった。
POSシステムとドメインコントローラに対するソフトウェアパッチの適用が不適切だった。そのため、脆弱性が4年間にわたって継続した。
攻撃を受けたシステムで定期的な脆弱性スキャンニングが実施されていなかった。
システム上で使用するアプリケーションホワイトリスト(使用可能なアプリケーションを指定するリスト)が正しく管理されていなかった。
システムへのデータ漏洩を即時探知する効果的な処理ログ記録や監視の体制が整備されていなかった。
POSシステムのセキュリティを有効に管理していなかったため、POSソフトウェアが陳腐化していた(最長8年間)。
POSシステムがPCI-DSSが保証する地点間暗号化(P2Pe:Point to Point Encryption)をサポートしていなかった。
ドメイン管理者のアカウントを適切に管理できていなかった。そのため、ドメイン管理者グループへのユーザー追加のリスクを評価していなかった。
データシステムのコンポーネントに、業界標準に基づいた標準的なビルドを適用していなかった。

DSG社はICOが不当に高度なデータセキュリティ条件を課しており、指摘された不備は堅牢な情報システムから偶然発生したものだったと主張したが、ICOは多数の不備が決済データシステムの運用にとって基本的かつ一般的な措置が実施されていなかったことに起因するとし、DSG側の主張を退けた。

制裁の考量では、個人データの技術的・組織的安全確保措置の欠如のほか、システムの不備が長期間継続していたこと、漏洩した個人データと影響を受けた個人の数が甚大であったこと、顧客がICOに提出した苦情が多数であったこと、漏洩したデータが個人の私生活に影響を与える内容であったことなどを踏まえ、制裁金の課徴が必要であるとした。実際には、顧客のカード情報85枚分がイギリス国内のスーパーマーケットで不正に使用された。氏名や住所などの決済に直接関係しない個人データも大量に漏洩したことから、顧客が身分詐取の被害にもさらされることになったとICOは指摘した。ICOはこうした状況が金銭面での情報の不正使用と身分詐取の不安や損害を顧客にもたらしたとしている。

さらにICOは、DSG社が全英規模の小売りチェーンであることから、顧客は同社が適切な情報セキュリティ措置を実施していると期待するのは当然であると判断した。また、マルウェア攻撃発生後、同社の経営責任者は顧客に謝罪の声明を発表したが、これはプライバシー法に違反した行為が顧客に実質的な損害や不安を与えていると同社自身が認識していることを示しているとした。以上から、同社からの個人データ漏洩は悪質性が高いとし、旧1998年プライバシー法による制裁としては最高額の50万ポンドの制裁が科されることとなった。ICOは処分通知書で、処分内容の決定において、同社以外でも同様の違反が将来再発することを抑止することの重要性を考慮したとしている。

本事案は、クレジットカード情報などの機微な金融個人データを取り扱う企業が、決済システムの運用者として当然実施しておくべき情報セキュリティ上の安全措置を怠っていたという、極めて悪質性の高いものである。現行のGDPRは、個人データの管理者と処理者に、個人データ処理上の技術的・組織的安全確保措置の実施を義務付けている。その実施レベルは、個人データ処理がデータ主体にもたらすリスクの程度を基準とする、いわゆる「リスクベーストアプローチ」により決定される。しかし本事案は、リスクベーストアプローチに関係なく、すべての管理者・処理者が当然実行しておくべき安全確保措置が欠如していた結果発生したものである。個人データを取り扱う事業者は、処理する個人データのリスクレベルに合わせた基本的・一般的なセキュリティ対策を確実に実施する、セキュリティの確保に必要なシステム投資や態勢整備を確実に実施する、セキュリティ投資による保護に見合わない個人データは削除するなど、データ漏洩リスクを適切にコントロールする等の対応を実行すべきである。

また、クレジットカード決済システムのセキュリティ標準であるPCI-DSSが、個人データの技術的安全確保措置として一定の有効性を有するとICOが認定したことも注目される。GDPRが求める代表的な技術的・組織的安全確保措置に、ENISAハンドブックのセキュリティメジャーリストやISO27000シリーズのISMS認証などがあるが、さらに情報セキュリティに関する業界のベストプラクティスを積極的に導入し、個人データのセキュリティ強度を維持向上させることの重要性が監督機関により強調されたことも本事案の教訓であるといえる。

サイバー攻撃により自社の情報システムが被害を受けたとしても、その結果個人データ漏洩が発生した際は、個人データの管理者や処理者としての責任が追及されることになる。そのため普段から適切な情報セキュリティ対策を怠らないことに加え、データ漏洩事案が発生した際は事実関係の把握や迅速な(GDPRの規定では72時間以内)の監督機関への報告、漏洩リスクが高い場合はデータ主体への通知など、管理者や処理者に求められる処置を確実に実施すべきである。また、監督機関による調査には誠実に対応することも肝要である。

National retailer fined half a million pounds for failing to secure information of at least 14 million people
https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2020/01/nationwide-retailer-fined-half-a-million-pounds-for-failing-to-secure-information/

関連記事

  • 2020年 9月 23日
GDPR執行事例リスト