POSマルウェアの恐怖 (1) PCI DSSに準拠しても防げない? 狙われるPOSシステム

牧野武文

February 28, 2017 12:00
by 牧野武文

マルウェアというと、多くの人がPCやスマートフォンのものと考えてしまうが、海外で被害が急増しているのが「POSマルウェア」だ。POSマルウェアは、小売店などのPOSレジに侵入し、決済処理されるカード情報を盗みだす。収集されたカード情報は転売され、ECサイトでの不正使用やプリペイドカードへの不正チャージに使われる。(参考記事 世界を変える「ペイメントテック」 (5) 狙われる「ブランドプリペイドカード」

大規模なサイバー犯罪は、各プロセスが分業され、面識のない異なるグループによって行われるという。連絡手段も使い捨てメールアドレスなどが使われ、振り込め詐欺の「出し子」が関与している事件もあり、末端の実行犯が逮捕できても犯罪組織全体の解明は難しい。

マルウェアが仕込まれたPOSレジを販売

2014年8月にトレンドマイクロ社が公表したレポート「POSシステムへの攻撃 小売り・サービス業界への脅威」には、驚くべき事実がいくつも紹介されている。一般的には店内のPCなどを先に感染させ、その後に同一ネットワークのPOSレジにマルウェアを感染させる手口が知られている。しかし閉店後に電源を落とす店舗もあるため、マルウェアを侵入させる隙を見つけづらい。そこでなんとアンダーグラウンド市場では、マルウェアに感染させた格安POSレジを販売しているのだという。このような中古POSレジを導入したり、保守員を装って交換されたりしてしまうと、買い物客のカード情報がせっせと悪意のある犯罪者に送られることになる。

POSレジからカード情報を盗まれてしまっても、そのカード利用者には不正使用の利用請求はされない。しかし、一度情報流出してしまったカードは原則そのまま使えない。カード番号を変え、再発行してもらわなければならず、その期間はカードが使えない。

fjコンサルティング瀬田陽介氏によると「それらの再発行費用や不正使用被害は、カード会社が一旦立て替えますが、最終的には情報を流出させた加盟店に賠償請求されます」カードの再発行は事務コストを含め一枚あたり2000〜3000円といわれ、不正使用の実害に加え、国際ブランドやカード会社(イシュア:カード発行会社)から流出したカードの不正使用モニタリングのコストを請求されることもある。

また店舗側では、専門機関による発生原因のフォレンジック調査を実施した上でマルウェアを駆除し、POSシステムを復旧しなければならない。多額の費用がかかり、復旧作業には平均11時間から37時間が必要になるといわれる。この間、現金取引に限定したとしても店舗業務には少なからず影響が出るはずだ。またたとえマルウェアの駆除が完了しても、すぐにカード取引は復旧できない。その加盟店がカード情報のセキュリティ基準であるPCI DSS(Payment Card Industry Data Security Standard)の準拠や、既に準拠してた場合はその準拠性を再検証した上でカード会社(アクワイアラ:加盟店契約会社)が再開を承認するのが一般的だ。この間カード決済はできないので、小売店は経営的に大きな打撃を受けることになる。

狙われるPOSサーバー

マルウェアをPOSレジに感染させる手口が発覚した当初は、悪意のある店舗スタッフや従業員になりすましたものによる犯行が報告されていた。一方その手法はPOSを1台ずつ感染させる必要がある上に店舗内の監視カメラがあり、足が着きやすかった。

POSマルウェアの大規模な被害が報告された2014年以降の手口は、より巧妙なものとなっている。まずはPOSレジが接続しているネットワークに侵入する。

例えば、店舗内のWi-Fiネットワークまたは情報系システムなどインターネットに接続されるものの脆弱性を利用する。店員への偽装メールもその手法の一つだ。POSネットワークはインターネットへの直接経路を持っていないことが多いため、店内のインターネットに接続できるPC(店長のメールやWeb閲覧用のPCなど)を悪意のあるハッカーのコントロール配下に置く。送信者のアドレスを偽り、社内のもっともらしい案内を添付ファイル付きで送る。添付ファイルを開くと内容は当たり障りがないが、その段階でPCがボット化するわけだ。

そこからリモートコントロールを利用してPOSレジに侵入し、カード情報を収集するマルウェアを仕掛ける。またPOSレジだけでなく、POSシステムのカード決済サーバーに侵入する例も報告されている。POSサーバーへの攻撃は、全店舗の全台のPOSレジの情報を収集できるため、1台のPOSレジよりもカード情報を盗み出すには効率がよい。

PCI DSSに準拠していれば安全なのか?

被害を受けた米国の大手のホテルや流通チェーンは、前述のPCI DSSを州法で義務化している地域に店舗を構えているため、準拠をしているはずだ。PCI DSSでは、その対象範囲はカード情報が「通過」「処理」「保存」されているシステムや業務と定義されている。ということは、カード情報が通過する決済端末やPOSシステムは当然範囲に含まれる。また米国ではPOSなどのパッケージアプリケーションに対する基準であるPCI PA-DSSも普及しているため、多くの加盟店が準拠済みのPOSアプリケーションを利用していると推測される。ではいったいなぜこれだけ多くのPOS加盟店から大規模に情報流出してしまうのだろうか?

「それはPCI DSSにも弱点があるからです。PCI DSSにカード情報を保存する領域は暗号化する要求があるため、POSレジのHDDは基本暗号化されています。しかし従来の磁気ストライプ取引では、POSレジやPOSシステムの決済サーバにおいて平文のデータを読み、暗号化処理するためにどうしてもメモリに平文のデータが展開されます。ここが狙われるのです。「RAMスクレイピング」というメモリから情報を抜き取る手法です」と瀬田氏は解説する。

POS加盟店は、PCI DSS準拠済みなのでカード情報は暗号化されていると認識していたのに平文で取り扱う箇所が残っている、という点がまさに弱点である。悪意のあるハッカーはここを狙っている。PCI DSSは、全てのメモリ処理まで暗号化することは最新バージョンの3.2でも明確には要求していない。それではPOS加盟店は、カード情報の流出を防ぐために何を頼ればよいのか? 次回以降でPOSマルウェアが具体的にどのような方法でカード情報を収集しているのかとその対策法について解説する。
 
(その2に続く)

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

続・日本人マルウェア開発の実態を追うハッカーとセキュリティ技術者は「文明」と「文化」ぐらい異なる

December 31, 2018 18:41

by 『THE ZERO/ONE』編集部

前回の「日本人マルウェア開発者インタビュー」では、マルウェアの開発者が「生身の人間」であることを知った。 一般社会のステレオタイプは、マルウェア開発者が「反社会的である」「孤独である」という印象を植え付けてきた。しかし前回の取材を通して、実際の彼ら(彼女ら)を見てみると社会に順応し、きわめて組織的で…

中国でライドシェア殺人事件が発生

May 22, 2018 08:00

by 牧野武文

5月6日早朝、中国版ウーバーの「滴滴出行」(ディディチューシン)のライドシェアを利用した女性が、運転手に殺害されるという痛ましい事件が起きた。ほぼすべてのメディアが連日報道する大事件となった。各交通警察は、中国人民公安大学が制作した「ライドシェアを利用する女性のための安全防犯ガイドブック」を配布して…