拡大するPOSマルウェア、小売業から、航空・鉄道・自動車業界へ

感謝祭とその翌日の Black Friday が過ぎ、米国ではクリスマスに向けたショッピングシーズンに突入しました。これからの季節は、休暇や家族や友達との交流、旅行、そして買い物を楽しむ人もいるでしょう。また、テレビで楽しい冬休み映画を見るのにも最適です。80年代の Steve Martin 主演のコメディ映画「大災難P.T.A.(1987年)」(原題:Planes, Trains and Automobiles)のように、POS(販売時点情報管理)システムを狙った攻撃が、小売業から航空・鉄道・自動車業界へと拡大しているのが確認されています。

■POSマルウェアは脅威の主流に
2013年末にかけて、米国大手小売業「Target」で当時史上最大の情報漏えい事例が起きたことはまだ記憶に新しいでしょう。この攻撃では「BlackPOS」が利用されました。2014年に入り、POSマルウェアは脅威の主流となり、大手から中小までのさまざまな商業を攻撃しました。2014年はまた、この脅威が進化したのを確認した年でもあります。トレンドマイクロでは、新しい POSマルウェアが年末商戦に合わせたかのように現れたのを確認し、また POSシステムを狙うサイバー犯罪者が利用するツールについても調査しました。

POSマルウェアの対象は、これまで小売業などの商業にほぼ限られていましたが、現在では商業施設から空港、鉄道駅、駐車場まで範囲を拡大しているように見えます。

■航空
セキュリティ企業「Census」は、今年 8月に開催された DEFCON2014 で、旅行客を狙った POSシステムの攻撃に関する興味深いリサーチペーパーを発表しました。Census は、POSシステムの定義を空港内のチェックインカウンター、有料 Wi-Fiサービス、荷物の位置情報にまで拡大しました。この調査はギリシャの空港で実行されました。調査の対象としたのは空港ターミナルの公共スペースの中心にある店舗です。利用客は、この店舗で、Wi-Fiサービスを購入したり、IP電話をかけたり、フライト時刻を調べるためにチケットをスキャンすることができます。Census によると、この店舗には、インターネット接続、誰でも使用できるUSBポート、管理者権限、衛生面に問題のあるキーボードがあり、セキュリティ対策製品はインストールされていませんでした。

Census は独自の不正プログラムを作成し、簡単な Web攻撃を利用してこの店舗を感染しました。航空会社はバーコード付き搭乗券(Bar Coded Boarding Pass、BCBP)を使用しており、そこに乗客の情報が含まれています。BCBP の仕様は簡単な Google検索で確認できます。印刷したチケットであろうと、モバイル端末上の QRコードであろうと、スキャンされた BCBP の情報は、店舗の持つ RAM で復号されます。BCBP の形式さえわかれば、クレジットカードなどの情報を窃取する POSマルウェアが利用する同じ手法を用いて、店舗の RAM から情報を収集することが可能です。Census が行った実験は、攻撃者が情報を窃取する POSマルウェアを簡単に店舗に侵入させられることを証明しました。

■鉄道

セキュリティ企業「IntelCrawler」は、今年 11月末、「d4re|dev1|(daredevil)」と呼ばれる POSマルウェアに関するブログ記事を公開しました。この POSマルウェアは「大量輸送システム(Mass Transit System、MTS)」を狙いました。この不正プログラムは、遠隔からの管理や更新、RAM情報の収集、キー入力操作情報の収集などの機能を備えます。IntelCrawler は、イタリアはサルディーニャの公共交通機関「ARST」の乗車券販売機が攻撃されたことを明らかにしました。この攻撃者は、ネットワーク上の離れた PC を遠隔操作する「Virtual Network Computing(VNC)」を利用して乗車券販売機にアクセスしました。感染したチケット販売機でバスや列車の乗車券を購入した乗客は、その支払カードの情報を収集するための格好の餌食となります。今年 9月に確認された POSマルウェアの 1つ「NewPosThings」は、侵害したシステムから VNC のパスワードを窃取しようと試みました。「BrutPOS」や「Backoff」のような他の POSマルウェアは、Microsoft の「リモート・デスクトップ・プロトコル(RDP)」を利用して、侵害したシステムにアクセスしました。

■自動車
11月末、駐車サービスを提供する米国の企業は、自社の 17 の駐車施設にある支払処理システムに不正侵入があったことを明らかにしました。第三者の業者がこの駐車施設の支払いカードシステムを管理しており、攻撃者はこの業者のリモートアクセスツールを利用して支払処理システムにアクセスしました。攻撃者はその後、駐車施設で集められた支払いカードの情報を窃取する不正プログラムをインストールしました。この業者はリモートアクセスに二要素認証を使用してなかったため、攻撃者がシステムに侵入して攻撃するのは比較的容易でした。被害の範囲は全米各地に広がっており、シカゴ、クリーブランド、エバンストン、フィラデルフィア、シカゴとなっています。

■トレンドマイクロの見解
上記の事例に基づく弊社の見解は、以下のとおりです。

  • サイバー犯罪者は、RAT や RDP、VCN といった遠隔から操作できる機能と POSマルウェアに組み合わせることにより、支払い機能や電子サービス機能のある機器に侵入する。
  • 支払いカードの情報処理を行うインターネットに接続したすべての機器は、場所を問わず攻撃の対象と見なされる。ユーザは空港や鉄道駅、駐車場にある電子サービスを提供する機器が、他の機器と同様のセキュリティ保護を持つと考えるべきではない。
  • すべてがつながる世界では、セキュリティ対策も境界を超える必要がある。その責任はいくつかの主要な業界が担うことになる。機器製造業、サービス業、銀行およびクレジットカード会社は顧客を保護する責任がある。

POSマルウェアの詳細な情報や対策については、弊社のリサーチペーパーもご参照下さい。「POSシステムへの攻撃 小売り・サービス業界への脅威」では、小売業やサービス業の POSシステムを狙う脅威について取り上げています。また「PoS RAM scraper malware: Past, Present, and Future(英語情報)」もあわせてご参照下さい。

【更新情報】

2014/12/18 13:30 今月14日、空港利用者のための駐車サービス「Park ‘N Fly」のオンラインカード処理システムの一部が情報漏えいの被害を受けたという報告がありました。アトランタを基盤とするこの企業の利用者は、オンライン予約システム上で駐車場スペースを予約することができます。Park ‘N Fly は、「SLL暗号を含め、自社のシステムは安全であると信じているが、現在、システム上で問題となりうる個所の確認および解決を外部の複数のセキュリティ企業に依頼している。指示があれば通常のように対策を講じるつもりだ」と述べています。

Park ‘N Fly は、全米各地で駐車関連サービスを提供する企業で、14地域で 16 の駐車場施設の所有、リースまた管理を行っています。また、全米で 85 の提携企業向けに駐車場スペース事前予約用のネットワーク運営を行っています。

参考記事:

 翻訳:品川 暁子(Core Technology Marketing, TrendLabs)