SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Enterprise IT Women's Forum

2025年1月31日(金)17:00~20:30 ホテル雅叙園東京にて開催

Security Online Day 2025 春の陣(開催予定)

2025年3月18日(火)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

CISO/CIOのための最新セキュリティ情報をお届け!「トレンドマイクロ出張所」

どう守る!?小売企業の顧客データとビジネス―進化するサイバー攻撃、狙われるPOS、続発する情報漏えい

トレンドマイクロ出張所

 小売企業がサイバー攻撃の標的にされ、POS端末から大量のクレジットカード情報を盗まれる――今日、この種のセキュリティ事件が多発し、社会問題へと発展しつつあります。サイバーリスクとは無縁のクローズドなネットワーク上に置かれ、「安全」と見なされてきたPOSシステム。しかし、高度化するサイバー攻撃によって、小売各社は待ったなしでの対応を迫られています。

サイバー攻撃の“格好の標的”

 2013年12月、米国の大手ディスカウントストア・チェーン、ターゲット(Target)社が攻撃され、4,000万件にも及ぶ顧客のクレジットカード情報(以下、カード情報)がPOS 端末から流出、最高経営責任者(CEO)と最高情報責任者(CIO)が辞任に追い込まれました。この事故後の同社の対応費用は6100万ドルに上るほか、賠償額は1,000万ドルとも報じられています(※報道された情報などを元にした、トレンドマイクロ調べ)。  

 この事件が明るみになった2013年12月以降、米国では同様のカード情報流出事件が続発。2014年9月には、米国のザ・ホーム・デポ(The Home Depot)社は実に5,600万件ものカード情報を漏えいしていたことが発覚しました。その後もPOS端末やカード決済端末を巡るセキュリティ被害は増え続け、攻撃の対象も小売企業から、ホテルや飲食業、駐車場運営会社へと広がり始めています(表)。  

表:米国でのPOSシステム攻撃被害事例 *報道された情報などを元にした、トレンドマイクロ調べ

 POS端末を標的にしたマルウェア(以下、POSマルウェア)は増加しており、トレンドマイクロが2014年に検出したPOSマルウェアだけでも、2013年の22倍に相当する491件に達しています。  

 これまでPOSネットワークは“クローズド”な環境であり、「サイバー攻撃やマルウェア感染のリスクは低い」と見なされてきました。だが、そのPOSのシステムもいまやサイバー攻撃の標的になっています。

“クローズドだから安全”は見直しが必要

 ではなぜ、安全なはずのPOSシステムから、情報が抜き取られてしまうのでしょうか。その大きな理由として挙げられるのは、サイバー攻撃の用意周到さと巧妙さ、そして、POSネットワークが「完全クローズド」の環境ではないことです。  

 まず、POS端末を狙ったサイバー攻撃では、攻撃対象に関する入念な調査が行われ、「どこを、どう攻めるのが有効か」が割り出されます。この「事前準備」を経たのちに、攻撃は「初期潜入」の段階に入ります。  

 この潜入には、いくとおりかの方法があります。1つは無線LANや(POS端末の)USBポートを介してPOSシステムへの直接的な潜入を試みることです。またもう1つは、攻撃対象の企業の社員に、「標的型メールやWebサイトに仕掛けた不正プログラム」を動作させ、当該社員が利用している端末をマルウェアに感染させる手法です。  

 「初期潜入」に成功した攻撃者が次に行うのは、マルウェアに感染した端末をインターネット経由で遠隔操作し、企業のネットワーク構成やシステム構成をくまなく調べ上げる「情報探索」です。これにより、通常の業務ネットワークとPOSシステムネットワークとの間でデータのやり取りがある「中間サーバ」の在処が突き止められ、中間サーバを介して、業務ネットワーク側からPOSシステムネットワークへの侵入が試みられます。そして、POS端末にマルウェアが仕掛けられ、顧客情報が抜き取られ、中間サーバに集約されていきます。そのデータが業務ネットワーク側に移され、インターネットを介して攻撃者の手元に送信されるのです。  

 さらに、このような攻撃においては、攻撃対象企業のPOSシステムネットワークにつながっている業務委託先が踏み台となるケースもあります。Target 社やThe Home Depot社の事件では、業務委託先のシステムが踏み台にされ、POSシステムの情報が抜き取られました。最近では、決済代行会社のシステムが攻撃者に乗っ取られ、小売各社のPOSシステムから情報が窃取されるという事件も発生しています。

次のページ
今求められる、攻撃シナリオを踏まえた対策

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
CISO/CIOのための最新セキュリティ情報をお届け!「トレンドマイクロ出張所」連載記事一覧

もっと読む

この記事の著者

トレンドマイクロ株式会社(トレンドマイクロ)

企業のCISO/CIO向けに、最新のセキュリティ動向と対策に関する情報やヒントをお届けする「トレンドマイクロ出張版」です。トレンドマイクロ:http://www.trendmicro.co.jp/jp/index.html

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/7177 2015/09/25 06:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング