今回、米国やカナダ、ヨーロッパ、中東、中南米などのカジノやリゾートホテルの POSシステムを狙った攻撃に利用された「RawPOS」について報告します。
「RawPOS」は、2008年に確認された初の POSマルウェアで、「RawPOS」に関する調査や資料はほとんど存在していません。しかし、過去に報告されたクレジットカード情報漏えい事例や、「RawPOS」は関与していないと当初考えられていた事例で利用された可能性があります。本稿は、この脅威について説明します。
■「RawPOS」の過去と現在
「RawPOS」が最初に言及されたのは、2008年10月です。VISA は「Visa Data Security Alert」で、磁気テープのすべての情報を「Random Access Memory(RAM)」から解析して抽出するデバッガについて報告しました。このセキュリティ情報で報告された詳細は、2008年から 2009年にかけて他のセキュリティ企業が公開したセキュリティ情報でも言及されました。
「RawPOS」に関する直近のセキュリティ情報(英語情報)は、2015年3月に公開されています。このセキュリティ情報では、サービス業に関連した攻撃への「RawPOS」の関与が報告されており、弊社が確認したものと一致します。
■設定可能なモジュール設計
「RawPOS」はさまざまな設定が可能なモジュール設計を備え、常に複数の段階とコンポーネントで構成されます。この初期の POSマルウェアが選択した設計は、今日まで長期に渡って利用されていることが判明しました。
- 複数の段階とコンポーネントを利用する手法により、対象とした環境での攻撃の成功率を確実にします。また、いかなるセキュリティ対策製品からの検出も困難にします。
- 「RawPOS」を利用した攻撃により、いまだに企業が被害を受けています。この攻撃の背後にいる攻撃者は、中小企業のネットワークがどのように設計されているかについて、十分に精通しています。
- 複数のコンポーネントを利用するため、一部が失敗しても攻撃を実行し続けることができ、また感染したシステムに常時アクセスできます。また攻撃対象を極端に限定しています。インシデント対応やセキュリティの担当者は、その企業だけに特化した特定のファイルがインストールされているのを確認する可能性があるでしょう。
■多数の POSシステムに対応
「RawPOS」は複数のコンポーネントで構成されているだけではなく、複数の POSシステムに対応していることにも注意が必要です。企業がさまざまな POSシステムを使用していたため、攻撃者は「RawPOS」のコードを変更し、徐々に複数の POSシステムに対応できるようにしました。図1 は「RawPOS」が対応する POSシステムの一覧です。
図1:「RawPOS」が対応する POSシステムの一覧
なお、図1 は弊社が確認した POSマルウェアの検体に基づいて作成されています。弊社が入手した検体を元に、すべての POSシステムを列挙するよう努めていますが、「RawPOS」やそのコンポーネントはさまざまな設定が可能なため、さらに多くの POSシステムに対応できるよう改良されている可能性は高いと思われます。
「RawPOS」に関する詳細、およびトレンドマイクロの対策やベストプラクティスに関しては、弊社のリサーチペーパー「RawPOS Technical Brief(英語情報)」もご参照下さい。
協力執筆者:Kenney Lu、Dark Luo、Marvin Cruz および Numaan Huq
参考記事:
- 「RawPOS: Checking in at a Hotel Near You」
by Jay Yaneza (Threats Analyst)
翻訳:品川 暁子(Core Technology Marketing, TrendLabs)