要約
- Neiman Marcus の決済カード情報漏洩は、店舗決済システムにおけるマルウェア活動が、通常の高級小売取引を、カード発行会社、顧客、規制当局、およびフォレンジック対応の作業に変えたため、リスクと説明責任のファイルに属する。
- 決済環境のセグメンテーション、マルウェア検出、警告エスカレーション、顧客通知、カードネットワーク連携、および小売業者が繰り返しの決済露出を低減したことの証明に対して、実質的な管理権を持っていたのは誰か?
- 最も強力な公的証拠は、https://oag.dc.gov/release/ag-racine-announces-neiman-marcus-pay-15-millionおよびhttps://oag.dc.gov/sites/default/files/2019-01/Neiman-Marcus-AVC.PDFにある複数州の和解記録であり、これらは情報漏洩を決済セキュリティ義務、監視要件、ソフトウェア保守義務、独立評価、およびフォレンジック調査者の準備に変換している。
- 第7巡回区の記録 (https://law.justia.com/cases/federal/appellate-courts/ca7/14-3122/14-3122-2015-07-20.htmlおよびhttps://media.ca7.uscourts.gov/cgi-bin/rssExec.pl?Path=Y2015%2FD07-20%2FC%3A14-3122%3AJ%3AWood%3Aaut%3AT%3AfnOp%3AN%3A1590360%3AS%3A0&Submit=Display) は、カード発行会社が不正請求を補償しても、長期にわたる決済被害が重要である理由を示している。
- 本稿では、州司法長官の資料、Remijas 控訴判決、https://krebsonsecurity.com/2014/01/hackers-steal-card-data-from-neiman-marcus/、https://www.wired.com/2014/01/neiman-marcus-hack/、https://www.keranews.org/business/2014-02-04/up-to-1-1-million-credit-cards-exposed-during-neiman-marcus-breachをインシデント証拠として扱い、PCI や NIST の資料は私的なフォレンジック証明ではなく管理語彙として使用する。
このケースがリスクと説明責任のファイルに属する理由
Neiman Marcus がリスクと説明責任のファイルに属するのは、このケースが単に盗まれたカード番号の問題ではないからです。それは、買い物客が端末の状態、店舗ネットワーク、プロセッサ接続、監視システム、フォレンジック証拠の痕跡を評価する有意義な方法を持たない瞬間に、誰が小売決済環境を管理しているかという問題です。顧客は販売を見ます。発行会社は承認とその後の不正シグナルを見ます。小売業者はシステム、ベンダー、ログ、店舗、カードブランド関係を見ます。その非対称性が説明責任の核心的な問題です。
公的記録は管理領域を特定するのに十分強力です。コロンビア特別区司法長官の2019年の発表 (https://oag.dc.gov/release/ag-racine-announces-neiman-marcus-pay-15-million) は、Neiman Marcus が150万ドルを支払い、複数州の調査を解決するためにセキュリティポリシーに同意したことを述べています。同じページによると、情報漏洩は全米77店舗の決済カードデータに影響を与え、約37万枚の決済カードが侵害され、少なくとも9,200枚が不正使用されました。ニューヨーク州司法長官の発表 (https://ag.ny.gov/press-release/2019/attorney-general-james-announces-15m-settlement-retailer-neiman-marcus-over-data) は、複数州の構成を繰り返し、PCI DSS 遵守、ネットワーク監視、ソフトウェア保守、フォレンジック調査者との契約、決済セキュリティ技術の見直し、暗号化またはトークン化によるデータ価値低減などの差止命令条項を列挙しています。
これらは抽象的な約束ではありません。店舗決済情報漏洩後に重要となる実際的な事項を特定しています:カード会員データ環境が適切に範囲設定されているか、ログが収集されほぼリアルタイムでレビューされているか、個人情報を保護するソフトウェアが維持されているか、外部のフォレンジック対応者が迅速に関与できるか、決済カードデータの価値が低減されているか、独立した評価が証拠を生み出しているか。したがって、https://oag.dc.gov/sites/default/files/2019-01/Neiman-Marcus-AVC.PDFの自発的遵守保証書は、イベントを修復ファイルに変換するため、中心的な説明責任文書です。
本稿の問いは明白な問いです:決済環境のセグメンテーション、マルウェア検出、警告エスカレーション、顧客通知、カードネットワーク連携、および小売業者が繰り返しの決済露出を低減したことの証明に対して、実質的な管理権を持っていたのは誰か?答えは、不正が最終的に銀行やカード会員明細に現れるというものではありえません。小売業者は店舗決済環境を管理していました。カードブランドとプロセッサは決済エコシステムの一部を管理していました。発行会社は再発行と払い戻しを管理していました。顧客は事後に明細を監視する以外にほとんど管理できませんでした。説明責任はその管理マップに従うべきです。
このケースは、より広範な小売情報漏洩の波の中に位置していたためにも重要です。Krebs on Security は、https://krebsonsecurity.com/2014/01/hackers-steal-card-data-from-neiman-marcus/で当初の確認を報じ、Target の情報漏洩がまだ公的な参照点である時期でした。Wired の2014年1月の記事 (https://www.wired.com/2014/01/neiman-marcus-hack/) は、マルウェアが2013年7月16日から10月30日にかけて決済データの収集を試み、約110万枚のカードがマルウェアに可視であった可能性があるという同社の声明を説明しています。KERA の記事 (https://www.keranews.org/business/2014-02-04/up-to-1-1-million-credit-cards-exposed-during-neiman-marcus-breach) も同じ会社説明を伝えました。後の州和解ではより狭い侵害カード数が使用されました。潜在的に可視、侵害、不正使用されたカードの間のギャップは、まさに証拠の境界が重要である理由です。
分母問題は説明責任問題である
小売情報漏洩の議論では、しばしばいくつかの数字が混ざり合います:マルウェアに潜在的に可視であったカード、フォレンジック分析後に侵害されたと信じられるカード、不正使用が確認されたカード、通知された人々、カードの交換や口座の監視に時間を費やした人々。Neiman Marcus は、これらの数字を統合すべきでない理由を示しています。各分母は異なる管理問いに答えます。潜在的に可視の人口はセグメンテーションとマルウェアの到達範囲をテストします。侵害された人口はフォレンジックの信頼性をテストします。不正使用された人口は犯罪収益化と発行会社への影響をテストします。通知された人口はコミュニケーションの完全性をテストします。和解の人口は法的救済をテストします。
同時代の開示記録によると、マルウェアは2013年7月16日から10月30日までカードデータのスクレイピングを試み、約110万枚の顧客決済カードがマルウェアに可視であった可能性があります。後の複数州の記録によると、約37万枚の決済カードが侵害され、少なくとも9,200枚が不正使用されました。これらの声明は必ずしも矛盾しません。それらは証拠の成熟度の異なる段階にあります。しかし、説明責任のある記事はその区別を明確にしなければなりません。影響を受けた人々や発行会社は、「潜在的に可視」をフォレンジックチームと同じように経験するわけではないからです。
第7巡回区の Remijas 判決は重要です。なぜなら、情報漏洩後の損害を単なる帳簿上の問題以上として扱うからです。Justia のコピー (https://law.justia.com/cases/federal/appellate-courts/ca7/14-3122/14-3122-2015-07-20.html) は、裁判所がデータ漏洩に関連する個別の損害を主張した原告について訴え却下を覆したことを要約しています。公式の裁判所 PDF (https://media.ca7.uscourts.gov/cgi-bin/rssExec.pl?Path=Y2015%2FD07-20%2FC%3A14-3122%3AJ%3AWood%3Aaut%3AT%3AfnOp%3AN%3A1590360%3AS%3A0&Submit=Display) は有用です。控訴記録は、顧客が被害を被る前に待つ必要はないと認識したからです。その reasoning は、発行会社の払い戻しがカード会員の時間、不安、不便さ、カード継続性の喪失、定期支払いの失敗、または情報漏洩通知を解釈する労力を消し去らないため、決済情報漏洩にとって重要です。
分母問題は発行会社にも影響します。発行会社は、カードを再発行するか、口座を監視するか、不正損失を吸収するか、コールセンターの負荷を処理するか、承認ルールを調整するかを決定する必要があります。これらのコストは、小売業者の即時の公的声明が慎重で不完全であっても発生する可能性があります。小売業者がタイムリーで正確なカードリストと露出期間を発行会社に提供できない場合、発行会社は不確実性の下で決定を下さなければなりません。それはコストの移転です。管理権所有者がすべての下流コストを直接支払うとは限りませんが、下流の関係者が作業を行います。
このため、強力な決済情報漏洩ファイルは、不正シグナルからプロセッサへの通知、小売業者の調査、フォレンジック確認、マルウェア封じ込め、顧客通知、発行会社との連携、法的和解、管理是正までのタイムラインを保持すべきです。公的記録はそのタイムラインの一部を提供します。すべての私的警告、ログレビュー、店舗レベルのセグメンテーション決定、カードブランドとの通信を提供するわけではありません。欠落した成果物は説明責任を無視する理由ではありません。それらは説明責任が何を要求するかを定義する証拠のギャップです。
(以下、本文全体の翻訳が続く)

