BLOG

クレジットカード業界やPCI DSSに関する最新動向をお届けします

2017.04.07

PCI DSSに準拠しても防げない? 狙われるPOSシステム

  • このエントリーをはてなブックマークに追加

マルウェアというと、多くの人がPCやスマートフォンのものと考えてしまうが、海外で被害が急増しているのが「POSマルウェア」だ。POSマルウェアは、小売店などのPOSレジに侵入し、決済処理されるカード情報を盗みだす。収集されたカード情報は転売され、ECサイトでの不正使用やプリペイドカードへの不正チャージに使われる。(参考記事 狙われる「ブランドプリペイドカード」

大規模なサイバー犯罪は、各プロセスが分業され、面識のない異なるグループによって行われるという。連絡手段も使い捨てメールアドレスなどが使われ、振り込め詐欺の「出し子」が関与している事件もあり、末端の実行犯が逮捕できても犯罪組織全体の解明は難しい。


マルウェアが仕込まれたPOSレジを販売


2014年8月にトレンドマイクロ社が公表したレポート「POSシステムへの攻撃 小売り・サービス業界への脅威」には、驚くべき事実がいくつも紹介されている。一般的には店内のPCなどを先に感染させ、その後に同一ネットワークのPOSレジにマルウェアを感染させる手口が知られている。しかし閉店後に電源を落とす店舗もあるため、マルウェアを侵入させる隙を見つけづらい。そこでなんとアンダーグラウンド市場では、マルウェアに感染させた格安POSレジを販売しているのだという。このような中古POSレジを導入したり、保守員を装って交換されたりしてしまうと、買い物客のカード情報がせっせと悪意のある犯罪者に送られることになる。

POSレジからカード情報を盗まれてしまっても、そのカード利用者には不正使用の利用請求はされない。しかし、一度情報流出してしまったカードは原則そのまま使えない。カード番号を変え、再発行してもらわなければならず、その期間はカードが使えない。

fjコンサルティング瀬田陽介氏によると「それらの再発行費用や不正使用被害は、カード会社が一旦立て替えますが、最終的には情報を流出させた加盟店に賠償請求されます」カードの再発行は事務コストを含め一枚あたり2000〜3000円といわれ、不正使用の実害に加え、国際ブランドやカード会社(イシュア:カード発行会社)から流出したカードの不正使用モニタリングのコストを請求されることもある。

また店舗側では、専門機関による発生原因のフォレンジック調査を実施した上でマルウェアを駆除し、POSシステムを復旧しなければならない。多額の費用がかかり、復旧作業には平均11時間から37時間が必要になるといわれる。この間、現金取引に限定したとしても店舗業務には少なからず影響が出るはずだ。またたとえマルウェアの駆除が完了しても、すぐにカード取引は復旧できない。その加盟店がカード情報のセキュリティ基準であるPCI DSS(Payment Card Industry Data Security Standard)の準拠や、既に準拠してた場合はその準拠性を再検証した上でカード会社(アクワイアラ:加盟店契約会社)が再開を承認するのが一般的だ。この間カード決済はできないので、小売店は経営的に大きな打撃を受けることになる。


狙われるPOSサーバー


マルウェアをPOSレジに感染させる手口が発覚した当初は、悪意のある店舗スタッフや従業員になりすましたものによる犯行が報告されていた。一方その手法はPOSを1台ずつ感染させる必要がある上に店舗内の監視カメラがあり、足が着きやすかった。

POSマルウェアの大規模な被害が報告された2014年以降の手口は、より巧妙なものとなっている。まずはPOSレジが接続しているネットワークに侵入する。
例えば、店舗内のWi-Fiネットワークまたは情報系システムなどインターネットに接続されるものの脆弱性を利用する。店員への偽装メールもその手法の一つだ。POSネットワークはインターネットへの直接経路を持っていないことが多いため、店内のインターネットに接続できるPC(店長のメールやWeb閲覧用のPCなど)を悪意のあるハッカーのコントロール配下に置く。送信者のアドレスを偽り、社内のもっともらしい案内を添付ファイル付きで送る。添付ファイルを開くと内容は当たり障りがないが、その段階でPCがボット化するわけだ。

そこからリモートコントロールを利用してPOSレジに侵入し、カード情報を収集するマルウェアを仕掛ける。またPOSレジだけでなく、POSシステムのカード決済サーバーに侵入する例も報告されている。POSサーバーへの攻撃は、全店舗の全台のPOSレジの情報を収集できるため、1台のPOSレジよりもカード情報を盗み出すには効率がよい。


PCI DSSに準拠していれば安全なのか?


被害を受けた米国の大手のホテルや流通チェーンは、前述のPCI DSSを州法で義務化している地域に店舗を構えているため、準拠をしているはずだ。PCI DSSでは、その対象範囲はカード情報が「通過」「処理」「保存」されているシステムや業務と定義されている。ということは、カード情報が通過する決済端末やPOSシステムは当然範囲に含まれる。また米国ではPOSなどのパッケージアプリケーションに対する基準であるPCI PA-DSSも普及しているため、多くの加盟店が準拠済みのPOSアプリケーションを利用していると推測される。ではいったいなぜこれだけ多くのPOS加盟店から大規模に情報流出してしまうのだろうか?

「それはPCI DSSにも弱点があるからです。PCI DSSにカード情報を保存する領域は暗号化する要求があるため、POSレジのHDDは基本暗号化されています。しかし従来の磁気ストライプ取引では、POSレジやPOSシステムの決済サーバにおいて平文のデータを読み、暗号化処理するためにどうしてもメモリに平文のデータが展開されます。ここが狙われるのです。「RAMスクレイピング」というメモリから情報を抜き取る手法です」と瀬田氏は解説する。

POS加盟店は、PCI DSS準拠済みなのでカード情報は暗号化されていると認識していたのに平文で取り扱う箇所が残っている、という点がまさに弱点である。悪意のあるハッカーはここを狙っている。PCI DSSは、全てのメモリ処理まで暗号化することは最新バージョンの3.2でも明確には要求していない。それではPOS加盟店は、カード情報の流出を防ぐために何を頼ればよいのか? 次回以降でPOSマルウェアが具体的にどのような方法でカード情報を収集しているのかとその対策法について解説する。(牧野 武文氏:2017/2/28)

(その2に続く)


この記事をオリジナルサイトで読む

zeroonelogo

記事提供元:THE ZERO/ONE https://the01.jp/ 『THE ZERO/ONE(ザ・ゼロワン)』は、ハッカーとジャーナリストが創るサイバーセキュリティ情報に特化したオンライン・メディアです。頻発するサイバー空間のインシデントに関する独自分析、自社調査による0day情報をタイムリーにお届けします。

この記事が気に入ったら
いいね!しよう

PCI DSS 関連の最新記事をお届けします

  • このエントリーをはてなブックマークに追加