Shoeisha Technology Media

EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

どう守る!?小売企業の顧客データとビジネス―進化するサイバー攻撃、狙われるPOS、続発する情報漏えい

  2015/09/25 06:00

 小売企業がサイバー攻撃の標的にされ、POS端末から大量のクレジットカード情報を盗まれる――今日、この種のセキュリティ事件が多発し、社会問題へと発展しつつあります。サイバーリスクとは無縁のクローズドなネットワーク上に置かれ、「安全」と見なされてきたPOSシステム。しかし、高度化するサイバー攻撃によって、小売各社は待ったなしでの対応を迫られています。

サイバー攻撃の“格好の標的”

 2013年12月、米国の大手ディスカウントストア・チェーン、ターゲット(Target)社が攻撃され、4,000万件にも及ぶ顧客のクレジットカード情報(以下、カード情報)がPOS 端末から流出、最高経営責任者(CEO)と最高情報責任者(CIO)が辞任に追い込まれました。この事故後の同社の対応費用は6100万ドルに上るほか、賠償額は1,000万ドルとも報じられています(※報道された情報などを元にした、トレンドマイクロ調べ)。  

 この事件が明るみになった2013年12月以降、米国では同様のカード情報流出事件が続発。2014年9月には、米国のザ・ホーム・デポ(The Home Depot)社は実に5,600万件ものカード情報を漏えいしていたことが発覚しました。その後もPOS端末やカード決済端末を巡るセキュリティ被害は増え続け、攻撃の対象も小売企業から、ホテルや飲食業、駐車場運営会社へと広がり始めています(表)。  

表:米国でのPOSシステム攻撃被害事例 *報道された情報などを元にした、トレンドマイクロ調べ

 POS端末を標的にしたマルウェア(以下、POSマルウェア)は増加しており、トレンドマイクロが2014年に検出したPOSマルウェアだけでも、2013年の22倍に相当する491件に達しています。  

 これまでPOSネットワークは“クローズド”な環境であり、「サイバー攻撃やマルウェア感染のリスクは低い」と見なされてきました。だが、そのPOSのシステムもいまやサイバー攻撃の標的になっています。

“クローズドだから安全”は見直しが必要

 ではなぜ、安全なはずのPOSシステムから、情報が抜き取られてしまうのでしょうか。その大きな理由として挙げられるのは、サイバー攻撃の用意周到さと巧妙さ、そして、POSネットワークが「完全クローズド」の環境ではないことです。  

 まず、POS端末を狙ったサイバー攻撃では、攻撃対象に関する入念な調査が行われ、「どこを、どう攻めるのが有効か」が割り出されます。この「事前準備」を経たのちに、攻撃は「初期潜入」の段階に入ります。  

 この潜入には、いくとおりかの方法があります。1つは無線LANや(POS端末の)USBポートを介してPOSシステムへの直接的な潜入を試みることです。またもう1つは、攻撃対象の企業の社員に、「標的型メールやWebサイトに仕掛けた不正プログラム」を動作させ、当該社員が利用している端末をマルウェアに感染させる手法です。  

 「初期潜入」に成功した攻撃者が次に行うのは、マルウェアに感染した端末をインターネット経由で遠隔操作し、企業のネットワーク構成やシステム構成をくまなく調べ上げる「情報探索」です。これにより、通常の業務ネットワークとPOSシステムネットワークとの間でデータのやり取りがある「中間サーバ」の在処が突き止められ、中間サーバを介して、業務ネットワーク側からPOSシステムネットワークへの侵入が試みられます。そして、POS端末にマルウェアが仕掛けられ、顧客情報が抜き取られ、中間サーバに集約されていきます。そのデータが業務ネットワーク側に移され、インターネットを介して攻撃者の手元に送信されるのです。  

 さらに、このような攻撃においては、攻撃対象企業のPOSシステムネットワークにつながっている業務委託先が踏み台となるケースもあります。Target 社やThe Home Depot社の事件では、業務委託先のシステムが踏み台にされ、POSシステムの情報が抜き取られました。最近では、決済代行会社のシステムが攻撃者に乗っ取られ、小売各社のPOSシステムから情報が窃取されるという事件も発生しています。

※この続きは、会員の方のみお読みいただけます(登録無料)。


※この続きは、会員の方のみお読みいただけます(登録無料)。


著者プロフィール

バックナンバー

連載:CISO/CIOのための最新セキュリティ情報をお届け!「トレンドマイクロ出張所」

もっと読む

All contents copyright © 2007-2019 Shoeisha Co., Ltd. All rights reserved. ver.1.5