チェーンの運営元のEarl Enterprisesが3月30日、公式サイトで明らかにした。セキュリティ研究家のBrian Krebsは約1カ月前に、流出情報が地下のフォーラムで公開されたと警告していた。身元不明の人物が、215万件のクレジットカード情報を売りに出していたという。
カード情報の多くは米国内のBuca di Beppoの67店舗から盗まれたもので、ラスベガスの「テキーラ・テキーラ」や「Mixology 101」、ディズニーワールド内の「Chicken Guy!」のものも含まれていた。
店舗へのハッキング攻撃では、POSシステムにマルウェアが仕込まれる場合が多い。ウイルスに感染した決済端末が、カード情報をサイバー犯罪者に送信するのだ。Earl Enterprisesへの攻撃もこのパターンだった。
今回のデータ流出は一夜にして起きたものではない。Earl Enterprisesの発表によると、攻撃は2018年5月に始まり、10カ月ほどの間気づかれなかったようだ。これほど長い間、POSシステムが情報を垂れ流していたことは、非常に恐ろしい。
不幸中の幸いといえるのは、今回流出したデータ量が、比較的少なかったことだ。2017年に小売大手ターゲットが標的とされた際には、20日間に渡るマルウェア攻撃で、合計1億1000万人以上が影響を受ける被害が発生した。
Earl Enterprisesは既に、同社の店舗で食事をしたことのある顧客が、被害を確認できるサイトを開設している。しかし、そのサイトは使い勝手が悪く、ドロップダウンメニューから州ごとの店舗を一つずつチェックしていく必要がある。
今回、盗まれたデータには、オンライン注文を行った顧客のものは含まれていないことにもふれておきたい。Earl Enterprisesは現在、警察やセキュリティ企業2社の力を借りて、被害の全容を解明しようとしている。
