小売大手 TJX の顧客情報流出、過去最大の4570万件に及ぶことが判明

すでに顧客情報の漏洩を公表していた米小売大手 TJX Companies (NYSE:TJX) だが、その流出件数は4570万件と、この種のデータ漏洩では最大規模だったことが判明した。この件数は、同社が28日に米証券取引委員会 (SEC) に提出した年次報告書で明らかになったものだ。

今回 SEC に書類を提出する2か月前にも同社は報告を発表し、2003年以降に顧客情報を保存したコンピュータシステムが侵入を受けていた証拠が見つかったとしていた。

今回の件が明らかになるまで、データ漏洩としては、クレジットカード情報処理会社 CardSystems Solutions のケースが最大とされてきた。こちらの事件では、2005年にハッカーが4000万件あまりの顧客情報に不正アクセスしたと報じられている。

TJX では、2006年12月までコンピュータ侵入を受けたことに気づかなかったと説明している。「誰が侵入したのか、また、侵入者が一度不正アクセスした後、ずっとシステム内にとどまっていたのか、複数回に及ぶ断続的な侵入だったのかは、まだ明らかになっていない」と、同社は今回の報告書で述べている。

TJX は2003年9月以降の決済処理について、番号をアスタリスクに置き換え、支払やクレジット決済の際のデータを部分的に非表示にしたという。しかし、暗号化などのセキュリティ対策にもかかわらず、データに侵入するために何らかの技術が使われた可能性があると、同社は説明する。TJX が採用している暗号化ソフトウェアの復号化ツールに侵入者がアクセスしたと考えられる根拠があるという。

TJX はさらに、このセキュリティ侵害について、昨年12月に契約した第3者のコンピュータセキュリティ企業と協力し、これからも調査を継続すると述べている。また、複数の法執行機関にも通知しており、その中の1つ、米財務省検察局 (シークレットサービス) も本件を捜査しているという。こうした調査には多くの費用を要するだろうと、同社では述べている。