2016.02.22
国内のPOS加盟店からカード情報流出事件が発生 -POSシステムを狙う新手のサイバー攻撃-
- BLOGトップ
- 国内のPOS加盟店からカード情報流出事件が発生 -POSシステムを狙う新手のサイバー攻撃-
ここ数年、米国における大規模なカード情報流出事件の手口が変化してきている。
主流となっているのは、POSシステムにマルウェアを潜入させ、不正にカード情報を収集して外部に送信する、という手法である。2013年末に発生した米国の大手流通チェーン Target社の大規模な流出事件もこの手口であり、同社を含めた複数の事件により、全米の POS 加盟店で約 1 億件のカード情報が流出していると言われている。
日本でも2016年1月、POS加盟店における被害が公に確認された。国内の対面加盟店における大規模な事件は初めてとなる。
世界的なホテルチェーンのハイアットの発表によると、ハイアットリージェンシー箱根リゾート&スパ、ハイアットリージェンシー京都、パークハイアット東京を含む4箇所で2015年8月13日~2015年12月8日の間に、支払いに使われたカード会員データに不正アクセスの可能性があったことを確認した。この期間中の同施設レストラン、スパ、ショップ、フロントデスク、駐車場で対面取引の利用者のカード情報が不正利用される可能性がある。また対象となる情報は、カード番号、有効期限、カード会員名に加え、セキュリティコードも含まれる。ハイアットは原因をPOSシステムへのマルウェア感染とすでに特定しており、同社の54カ国250拠点で被害が確認されたという。
国内のカード業界のそれまでの想定は、国内のPOS端末がインターネットを経由してマルウェアに感染し、カード情報が流出するという攻撃手法だった。しかし海外を含むいずれかのPOS端末がまずは感染し、その後にプライベートネットワークを介して国内のPOSシステム内のカード情報を抜きとるというのは、想定外だったかもしれない。
意外に思われるかもしれないが、実は被害に遭った時点で同社はPCI DSSへの準拠を完了していた。それでは、なぜ事件が起きてしまったのだろうか。それまで、米国の対面POS加盟店からカード情報を不正に入手するための手口は、無線LANの暗号通信の脆弱性を突くという手法が主流だった。 米国のPOS加盟店では、店舗内の通信に無線LANを使用しているケースが多い。
もしこれが脆弱な暗号通信だった場合、中でも「WEP」という形式を使用していれば一瞬にして暗号は解けてしまう。そのため、PCI DSSも2010年6月末をもってWEP の使用を一切禁じている。一方で、仮に暗号が解けたとしても、この手口には難点があった。無線LAN はその性質上、近距離でしか通信ができない。そのため、不正な侵入者達は店舗の駐車場に車を停めてアンテナを立てたり、店舗の近隣に家を借りるなどしてカード会員情報を収集していたのである。そうした拠点を当局に発見され、逮捕に至った事例が実際にいくつか報告されている。
このように、無線 LAN の通信が届く範囲で犯行を行わなければならず、比較的足がつきやすい点が不正な侵入者にとってはリスクだったと言える。そのような中で、2011 年以降、手口が徐々に変化してきた。その手法は、まず POS 端末にマルウェアを送り込み、そのマルウェアが店舗内のカード会員情報に不正アクセスする。そして、外部のネットワーク経路を見つけ、抜き取った情報を送信するというものだ。Target 社の事件も、この手口だったと報告されている。また、このマルウェアのうち「RAMスクレーパー」といわれるタイプのものは、店舗内のPOS端末やストアサーバの RAM(メモリ)に残っているカード情報をさらいにいくものだが、この「メモリをさらう」という点が大きな問題となる。
▽ POSマルウェアによる攻撃(イメージ)
したがって、Target社のように PCI DSSに準拠しているにもかかわらず攻撃に遭ってしまうという事態が起こり得る。さらに、この方法ならば不正侵入者が情報を盗み出すために犯行現場の近くまで出向く必要がないため、足がつくリスクも低い。これらの事情により、POSマルウェアが現在主流の手口となってきているのである。
しかも前述のとおり、POS端末に搭載されているOSのトップシェアがWindows Embeddedであることも不正侵入者にとって都合がよい。特に、Windows XP Embeddedを使用しているケースもまだまだあるという。汎用の XPとは違って2017 年1月までセキュリティ更新プログラムの提供があるにしても、そもそもオフィス内の PCとは異なり、POS端末にセキュリティパッチを頻繁にあてることは業務の安定継続の観点から敬遠されている。要するに、月例パッチをあてているオフィス内の PCよりもマルウェアに感染しやすい環境にあるということだ。
前述のハイアットの事件以外にも、潜在的な被害は他の国内のPOS加盟店でもある可能性がある。トレンドマイクロ社は、すでにPOS端末ウィルスを国内でも検出しているという。カード情報流出事件の大半は、「決済代行のクレジットカード情報非保持サービスは安心か?」でも紹介した通り、発生から数ヶ月後に契約するアクワイアラからの通報から発覚する。
次回は、これらの攻撃に対して、米国で有効な方法として評価されているカードリーダー端末とそのデータ処理や暗号化ファシリティの基準である「PCI Point-to-Point Encryption(PCI P2PE)」について詳しく解説したい。
(筆者:fjコンサルティング株式会社 瀬田陽介)
PCI DSS Ready Cloudでは、PCI DSS v4.0への効率的な移行支援及び準拠を促進するクラウドサービスを提供しています。
是非一度、ご相談ください。
PCI DSS準拠を促進するクラウドサービスならPCI DSS Ready Cloud
■ PCI DSS の構築、維持・運用にかかるコストと工数を削減する
■ AWSでの開発事業者や外部ベンダー/事業者との専用線接続がない場合に最適
■ 国内トップクラスのPCI DSS専門のコンサルタント集団によるPCI DSS準拠支援サービス
主流となっているのは、POSシステムにマルウェアを潜入させ、不正にカード情報を収集して外部に送信する、という手法である。2013年末に発生した米国の大手流通チェーン Target社の大規模な流出事件もこの手口であり、同社を含めた複数の事件により、全米の POS 加盟店で約 1 億件のカード情報が流出していると言われている。
日本でも2016年1月、POS加盟店における被害が公に確認された。国内の対面加盟店における大規模な事件は初めてとなる。
世界的なホテルチェーンのハイアットの発表によると、ハイアットリージェンシー箱根リゾート&スパ、ハイアットリージェンシー京都、パークハイアット東京を含む4箇所で2015年8月13日~2015年12月8日の間に、支払いに使われたカード会員データに不正アクセスの可能性があったことを確認した。この期間中の同施設レストラン、スパ、ショップ、フロントデスク、駐車場で対面取引の利用者のカード情報が不正利用される可能性がある。また対象となる情報は、カード番号、有効期限、カード会員名に加え、セキュリティコードも含まれる。ハイアットは原因をPOSシステムへのマルウェア感染とすでに特定しており、同社の54カ国250拠点で被害が確認されたという。
国内のカード業界のそれまでの想定は、国内のPOS端末がインターネットを経由してマルウェアに感染し、カード情報が流出するという攻撃手法だった。しかし海外を含むいずれかのPOS端末がまずは感染し、その後にプライベートネットワークを介して国内のPOSシステム内のカード情報を抜きとるというのは、想定外だったかもしれない。
巧妙になる不正なカード情報収集手段。POS端末のマルウェアとは?
ここで、前述の2013年末に発覚した米国大手流通チェーンTarget社の大規模カード情報流出事件を振り返りたい。意外に思われるかもしれないが、実は被害に遭った時点で同社はPCI DSSへの準拠を完了していた。それでは、なぜ事件が起きてしまったのだろうか。それまで、米国の対面POS加盟店からカード情報を不正に入手するための手口は、無線LANの暗号通信の脆弱性を突くという手法が主流だった。 米国のPOS加盟店では、店舗内の通信に無線LANを使用しているケースが多い。
もしこれが脆弱な暗号通信だった場合、中でも「WEP」という形式を使用していれば一瞬にして暗号は解けてしまう。そのため、PCI DSSも2010年6月末をもってWEP の使用を一切禁じている。一方で、仮に暗号が解けたとしても、この手口には難点があった。無線LAN はその性質上、近距離でしか通信ができない。そのため、不正な侵入者達は店舗の駐車場に車を停めてアンテナを立てたり、店舗の近隣に家を借りるなどしてカード会員情報を収集していたのである。そうした拠点を当局に発見され、逮捕に至った事例が実際にいくつか報告されている。
このように、無線 LAN の通信が届く範囲で犯行を行わなければならず、比較的足がつきやすい点が不正な侵入者にとってはリスクだったと言える。そのような中で、2011 年以降、手口が徐々に変化してきた。その手法は、まず POS 端末にマルウェアを送り込み、そのマルウェアが店舗内のカード会員情報に不正アクセスする。そして、外部のネットワーク経路を見つけ、抜き取った情報を送信するというものだ。Target 社の事件も、この手口だったと報告されている。また、このマルウェアのうち「RAMスクレーパー」といわれるタイプのものは、店舗内のPOS端末やストアサーバの RAM(メモリ)に残っているカード情報をさらいにいくものだが、この「メモリをさらう」という点が大きな問題となる。
▽ POSマルウェアによる攻撃(イメージ)
PCI DSSだけでは防ぎきれない?
PCI DSSでは「保存しているカード会員情報は暗号化する」ことが求められており、また一般的にも POS端末内のハードディクやカード会員データは暗号化されている。しかし、暗号化されたカード情報も、カードのオーソリ処理などの際にメモリに展開された時点では平文に復号化されている。RAMスクレーパーはそのメモリから平文のカード情報を抜き取ってしまうのだ。したがって、Target社のように PCI DSSに準拠しているにもかかわらず攻撃に遭ってしまうという事態が起こり得る。さらに、この方法ならば不正侵入者が情報を盗み出すために犯行現場の近くまで出向く必要がないため、足がつくリスクも低い。これらの事情により、POSマルウェアが現在主流の手口となってきているのである。
しかも前述のとおり、POS端末に搭載されているOSのトップシェアがWindows Embeddedであることも不正侵入者にとって都合がよい。特に、Windows XP Embeddedを使用しているケースもまだまだあるという。汎用の XPとは違って2017 年1月までセキュリティ更新プログラムの提供があるにしても、そもそもオフィス内の PCとは異なり、POS端末にセキュリティパッチを頻繁にあてることは業務の安定継続の観点から敬遠されている。要するに、月例パッチをあてているオフィス内の PCよりもマルウェアに感染しやすい環境にあるということだ。
前述のハイアットの事件以外にも、潜在的な被害は他の国内のPOS加盟店でもある可能性がある。トレンドマイクロ社は、すでにPOS端末ウィルスを国内でも検出しているという。カード情報流出事件の大半は、「決済代行のクレジットカード情報非保持サービスは安心か?」でも紹介した通り、発生から数ヶ月後に契約するアクワイアラからの通報から発覚する。
次回は、これらの攻撃に対して、米国で有効な方法として評価されているカードリーダー端末とそのデータ処理や暗号化ファシリティの基準である「PCI Point-to-Point Encryption(PCI P2PE)」について詳しく解説したい。
(筆者:fjコンサルティング株式会社 瀬田陽介)
PCI DSS Ready Cloudでは、PCI DSS v4.0への効率的な移行支援及び準拠を促進するクラウドサービスを提供しています。
是非一度、ご相談ください。
PCI DSS準拠を促進するクラウドサービスならPCI DSS Ready Cloud
■ PCI DSS の構築、維持・運用にかかるコストと工数を削減する
■ AWSでの開発事業者や外部ベンダー/事業者との専用線接続がない場合に最適
■ 国内トップクラスのPCI DSS専門のコンサルタント集団によるPCI DSS準拠支援サービス
この記事が気に入ったら
いいね!しよう
PCI DSS 関連の最新記事をお届けします
Copyright by LINK, INC.