サイバー攻撃の“格好の標的”
2013年12月、米国の大手ディスカウントストア・チェーン、ターゲット(Target)社が攻撃され、4,000万件にも及ぶ顧客のクレジットカード情報(以下、カード情報)がPOS 端末から流出、最高経営責任者(CEO)と最高情報責任者(CIO)が辞任に追い込まれました。この事故後の同社の対応費用は6100万ドルに上るほか、賠償額は1,000万ドルとも報じられています(※報道された情報などを元にした、トレンドマイクロ調べ)。
この事件が明るみになった2013年12月以降、米国では同様のカード情報流出事件が続発。2014年9月には、米国のザ・ホーム・デポ(The Home Depot)社は実に5,600万件ものカード情報を漏えいしていたことが発覚しました。その後もPOS端末やカード決済端末を巡るセキュリティ被害は増え続け、攻撃の対象も小売企業から、ホテルや飲食業、駐車場運営会社へと広がり始めています(表)。
表:米国でのPOSシステム攻撃被害事例 *報道された情報などを元にした、トレンドマイクロ調べ
POS端末を標的にしたマルウェア(以下、POSマルウェア)は増加しており、トレンドマイクロが2014年に検出したPOSマルウェアだけでも、2013年の22倍に相当する491件に達しています。
これまでPOSネットワークは“クローズド”な環境であり、「サイバー攻撃やマルウェア感染のリスクは低い」と見なされてきました。だが、そのPOSのシステムもいまやサイバー攻撃の標的になっています。
“クローズドだから安全”は見直しが必要
ではなぜ、安全なはずのPOSシステムから、情報が抜き取られてしまうのでしょうか。その大きな理由として挙げられるのは、サイバー攻撃の用意周到さと巧妙さ、そして、POSネットワークが「完全クローズド」の環境ではないことです。
まず、POS端末を狙ったサイバー攻撃では、攻撃対象に関する入念な調査が行われ、「どこを、どう攻めるのが有効か」が割り出されます。この「事前準備」を経たのちに、攻撃は「初期潜入」の段階に入ります。
この潜入には、いくとおりかの方法があります。1つは無線LANや(POS端末の)USBポートを介してPOSシステムへの直接的な潜入を試みることです。またもう1つは、攻撃対象の企業の社員に、「標的型メールやWebサイトに仕掛けた不正プログラム」を動作させ、当該社員が利用している端末をマルウェアに感染させる手法です。
「初期潜入」に成功した攻撃者が次に行うのは、マルウェアに感染した端末をインターネット経由で遠隔操作し、企業のネットワーク構成やシステム構成をくまなく調べ上げる「情報探索」です。これにより、通常の業務ネットワークとPOSシステムネットワークとの間でデータのやり取りがある「中間サーバ」の在処が突き止められ、中間サーバを介して、業務ネットワーク側からPOSシステムネットワークへの侵入が試みられます。そして、POS端末にマルウェアが仕掛けられ、顧客情報が抜き取られ、中間サーバに集約されていきます。そのデータが業務ネットワーク側に移され、インターネットを介して攻撃者の手元に送信されるのです。
さらに、このような攻撃においては、攻撃対象企業のPOSシステムネットワークにつながっている業務委託先が踏み台となるケースもあります。Target 社やThe Home Depot社の事件では、業務委託先のシステムが踏み台にされ、POSシステムの情報が抜き取られました。最近では、決済代行会社のシステムが攻撃者に乗っ取られ、小売各社のPOSシステムから情報が窃取されるという事件も発生しています。
