SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

EnterpriseZine Day 2022

2022年6月28日(火)13:10

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

CISO/CIOのための最新セキュリティ情報をお届け!「トレンドマイクロ出張所」

どう守る!?小売企業の顧客データとビジネス―進化するサイバー攻撃、狙われるPOS、続発する情報漏えい

トレンドマイクロ出張所

 小売企業がサイバー攻撃の標的にされ、POS端末から大量のクレジットカード情報を盗まれる――今日、この種のセキュリティ事件が多発し、社会問題へと発展しつつあります。サイバーリスクとは無縁のクローズドなネットワーク上に置かれ、「安全」と見なされてきたPOSシステム。しかし、高度化するサイバー攻撃によって、小売各社は待ったなしでの対応を迫られています。

サイバー攻撃の“格好の標的”

 2013年12月、米国の大手ディスカウントストア・チェーン、ターゲット(Target)社が攻撃され、4,000万件にも及ぶ顧客のクレジットカード情報(以下、カード情報)がPOS 端末から流出、最高経営責任者(CEO)と最高情報責任者(CIO)が辞任に追い込まれました。この事故後の同社の対応費用は6100万ドルに上るほか、賠償額は1,000万ドルとも報じられています(※報道された情報などを元にした、トレンドマイクロ調べ)。  

 この事件が明るみになった2013年12月以降、米国では同様のカード情報流出事件が続発。2014年9月には、米国のザ・ホーム・デポ(The Home Depot)社は実に5,600万件ものカード情報を漏えいしていたことが発覚しました。その後もPOS端末やカード決済端末を巡るセキュリティ被害は増え続け、攻撃の対象も小売企業から、ホテルや飲食業、駐車場運営会社へと広がり始めています(表)。  

表:米国でのPOSシステム攻撃被害事例 *報道された情報などを元にした、トレンドマイクロ調べ

 POS端末を標的にしたマルウェア(以下、POSマルウェア)は増加しており、トレンドマイクロが2014年に検出したPOSマルウェアだけでも、2013年の22倍に相当する491件に達しています。  

 これまでPOSネットワークは“クローズド”な環境であり、「サイバー攻撃やマルウェア感染のリスクは低い」と見なされてきました。だが、そのPOSのシステムもいまやサイバー攻撃の標的になっています。

“クローズドだから安全”は見直しが必要

 ではなぜ、安全なはずのPOSシステムから、情報が抜き取られてしまうのでしょうか。その大きな理由として挙げられるのは、サイバー攻撃の用意周到さと巧妙さ、そして、POSネットワークが「完全クローズド」の環境ではないことです。  

 まず、POS端末を狙ったサイバー攻撃では、攻撃対象に関する入念な調査が行われ、「どこを、どう攻めるのが有効か」が割り出されます。この「事前準備」を経たのちに、攻撃は「初期潜入」の段階に入ります。  

 この潜入には、いくとおりかの方法があります。1つは無線LANや(POS端末の)USBポートを介してPOSシステムへの直接的な潜入を試みることです。またもう1つは、攻撃対象の企業の社員に、「標的型メールやWebサイトに仕掛けた不正プログラム」を動作させ、当該社員が利用している端末をマルウェアに感染させる手法です。  

 「初期潜入」に成功した攻撃者が次に行うのは、マルウェアに感染した端末をインターネット経由で遠隔操作し、企業のネットワーク構成やシステム構成をくまなく調べ上げる「情報探索」です。これにより、通常の業務ネットワークとPOSシステムネットワークとの間でデータのやり取りがある「中間サーバ」の在処が突き止められ、中間サーバを介して、業務ネットワーク側からPOSシステムネットワークへの侵入が試みられます。そして、POS端末にマルウェアが仕掛けられ、顧客情報が抜き取られ、中間サーバに集約されていきます。そのデータが業務ネットワーク側に移され、インターネットを介して攻撃者の手元に送信されるのです。  

 さらに、このような攻撃においては、攻撃対象企業のPOSシステムネットワークにつながっている業務委託先が踏み台となるケースもあります。Target 社やThe Home Depot社の事件では、業務委託先のシステムが踏み台にされ、POSシステムの情報が抜き取られました。最近では、決済代行会社のシステムが攻撃者に乗っ取られ、小売各社のPOSシステムから情報が窃取されるという事件も発生しています。

次のページ
今求められる、攻撃シナリオを踏まえた対策

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
CISO/CIOのための最新セキュリティ情報をお届け!「トレンドマイクロ出張所」連載記事一覧

もっと読む

この記事の著者

トレンドマイクロ株式会社(トレンドマイクロ)

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/7177 2015/09/25 06:00

Job Board

PR

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2022年6月28日(火)13:10

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング