米国のホテルやサービス業を狙うPOSマルウェア「MalumPoS」を確認

トレンドマイクロは、POSマルウェア「MalumPoS」を初めて確認しました。この不正プログラムは再設定が可能で、標的とするどのような POSシステムにも侵害することができます。この POSマルウェアは、2015年6月現在、Oracle社の「MICROS」を使用している POSシステムから情報を収集するよう設計されています。MICROS は、サービス業、飲食業、小売業でよく使用されているソフトウェアです。

Oracle によると、MICROS は世界 33万個所で使用されていますが、この POSシステムを使用している企業の大半は米国の企業です。そのため、攻撃者が「MalumPoS」を侵入させることに成功した場合、米国の大手数社とその顧客が危険にさらされる恐れがあります。

一般的に、「MalumPoS」のような POSマルウェアは、感染したシステムの「Random Access Memory(RAM)」からクレジットカード情報を収集するよう設計されています。クレジットカードの磁気ストライプが POS端末に通されるたびに、クレジットカードの所有者の氏名や口座番号といったカードに保存された情報が窃取されます。こうした情報は送出されると、クレジットカードを偽造するために利用されたり、オンライン上で購入する際の不正取引に利用されることがあります。

「MalumPoS」は、攻撃者によって自由に環境設定が変えられるように設計されています。つまり、将来的に、攻撃者はプロセスや標的を変更したり、追加することが可能です。例えば、対象リストに NCR(Radiant)社の Counterpoint POSシステムを追加するよう「MalumPoS」を設定することができます。その場合、こうした POSシステムを使用している企業も危険にさらされることになります。

■注意すべきその他の機能
弊社がこれまでに確認した POSマルウェアと比較すると、「MalumPoS」には以下の注意すべき特性があります。

  • 「NVIDIA」を装う:「MalumPoS」はシステムにインストールされると、自身を「NVIDIA ディスプレイドライバ」に装うか、もしくは図1 のように、「NVIDIA Display Driv3r」として表示します。通常の NVIDIA のコンポーネントは POSシステムでは重要な役割を持ちませんが、一般のユーザには馴染みがあるため、この POSマルウェアが無害に見える可能性があります。
  • 図1:インストールされた「MalumPOS」のサービス
    図1:インストールされた「MalumPOS」のサービス

  • 攻撃対象とする POSシステム:Oracle の MICROS の他、「MalumPOS」は「Oracle Forms」や「Shift4」、Internet Explorer(IE)を介してアクセスする POSシステムを攻撃対象とします。弊社が上述のシステムのユーザ層を調査すると、大半は米国のユーザであることが判明しました。
  • 選択的なカード情報収集:「MalumPOS」は正規表現を利用して POSシステム上の情報を選別し、適切なクレジットカード情報を検索します。弊社は、「Rdasrv」と呼ばれる古い POSマルウェアが同様の挙動を見せることを確認しています。「MalumPOS」は、次のクレジットカード上の情報を選択的に検索します:Visa、MasterCard、American Express、Discover、Diner’s Club

上述したように、「MalumPOS」は自由に環境設定を変更できるため、攻撃者は対象とする POSシステムやクレジットカードの現在のリストに変更を加えたり、追加することが可能です。

「侵入の痕跡(Indicators of Compromise、IOC)」や「YARA」のルールを含む「MalumPOS」についての総合的な解析は、弊社のリサーチペーパーをご参照下さい。

■トレンドマイクロの対策
トレンドマイクロはこの脅威に関連するすべてのバイナリを検出します。弊社の法人向けネットワークソリューション「Trend Micro Deep Discovery」はエンドポイントの監視を行います。また、弊社では、関連した IOC を検索できるよう YARA のルールを作成しました。なお、上記のリサーチペーパーでも技術的な詳細をご覧いただけます。

また、ホワイトリスト登録済みのアプリケーションのみを実行可能とするセキュリティ対策により、POSシステムを保護することが可能です。

POSマルウェアに関しては、以下のリサーチペーパーもご参照下さい。

協力執筆者:Kenney Lu、Numaan Nuq および Kyle Wilhoit

参考記事:

 翻訳:品川 暁子(Core Technology Marketing, TrendLabs)