米大手ホームセンター「Home Depot」は、2014年9月8日(米国時間)、自社のホームページ上で、決済システムに不正侵入があったことを確認しました。それに先立って先週には、ロシアとウクライナのサイバー犯罪者が、アトランタを拠点にする小売業の POS(販売時点情報管理)端末に不正侵入したことが報告されています。
Home Depot は詳細を報告しており、この不正侵入によって今年 4月以降に米国とカナダの店舗で購入した顧客が被害にあったことが推測されています。Home Depot が 9月2日から調査に入ったことを考えると、最悪の場合、4~5カ月に渡って不正侵入が続いたことになります。また、最大 6千万件のクレジットカード情報が窃取された可能性があるとも言われています。
今回の Home Depot への攻撃は、POSシステムを狙う不正プログラム「BlackPOS」を利用して実行されたと推測されています。トレンドマイクロが 今月初めに本ブログ上で取り上げた「BlackPOS」の亜種と、Home Depot を攻撃した POSマルウェアの挙動が非常に似ていることから、この亜種が今回の攻撃の一端を担っている可能性があります。
この亜種は、通常の「BlackPOS」の亜種とさまざまな点で異なります。2012年、「BlackPOS」のソースコードが流出した後、コードが大幅に書き換えられたようです。この亜種が利用する APIコールは、情報窃取のために対象のプロセスを列挙します。また、カスタム検索が導入され、クレジットカードのトラック情報を検索します。なお、この「BlackPOS」の亜種は、「TSPY_MEMLOG.A」として検出されます。
このように POSマルウェアが巧妙化しているということは、この不正プログラムがさらに大きな脅威となることを明示しています。POSシステムへの攻撃が続くことは、経済損失だけではなく、現在の商取引における顧客の信用を失うことにもなるでしょう。
最新の ICチップ搭載のクレジットカードや POS端末に切り替えることは、将来的なリスクを軽減するのに役に立つでしょう。また、ユーザは、不審な取引がないか銀行の取引明細書を定期的に確認して下さい。定期的にクレジットカードの最近の取引状況を確認することにより、不正な取引に気付くことができます。
弊社では、POSシステムを狙う脅威の概要をまとめたリサーチペーパー「PoS RAM scraper malware: Past, Present, and Future(英語情報)」を公開しています。POSマルウェアの攻撃を受ける危険性のある企業のシステム管理者は、このリサーチペーパーの情報を活用して、POSシステムを狙う攻撃を検知、軽減し、対処することができるでしょう。また、すでに公開されたリサーチペーパー「POSシステムへの攻撃 小売り・サービス業界への脅威」では、小売業やサービス業の POSシステムを狙う脅威について取り上げています。
【更新情報】
| 2014/09/16 | 12:00 | 弊社では、今回の攻撃に利用された POSマルウェアを「BlackPOS ver2」と名付けました。「Target」に不正侵入した「BlackPOS」とコードはまったく異なっていますが、「BlackPOS」の情報送出の手法をそのまま模倣しています。この POSマルウェアは「BlackPOS」を改良した複製であり、そのため、弊社では「BlackPOS ver2」と名付けることに決定しました。
また、報道機関によると、一部のセキュリティ企業では、この POSマルウェア(「TSPY_MEMLOG.A」)を「FrameworkPOS」と名付けています。これは、この POSマルウェアが自身をサービス名「<セキュリティ企業>Framework Management Instrumentation」にインストールすることに由来します。 |
参考記事:
by Jonathan Leopando (Technical Communications)
翻訳:品川 暁子(Core Technology Marketing, TrendLabs)