米大手小売業の大規模な情報漏えい事例からネットワークセキュリティ対策の重要性を再認識

セキュリティに関する 2014年の最大のニュースは、これまでのところ、米大手小売業の大規模な情報流出でしょう。同社においては、クリスマス商戦の始まるブラックフライデー(11月の第4金曜日)を含め、2013年末の数週間に渡って、自社のネットワークに攻撃者が侵入し、POS(販売時点情報管理)システムに不正プログラムをインストールして、約4,000万人の顧客のクレジットカード情報を収集しました。また、氏名や住所、電話番号といった 7,000万人の個人情報も収集されています。トレンドマイクロは「脅威予測-2014年とその後」で、大規模な情報漏えいの発生頻度が上がると予想していました。

この情報流出の規模や深刻さは言うまでもありません。インターネット上でも、新聞の紙面でも、この不正プログラムの作成者は誰かといった話題に集中していますが、より長期的な目で見れば、着目すべき重要な点は、この攻撃を防ぐ多くの方法があったことでしょう。

例えば、POSシステムは、正規アプリケーションに関する情報を登録した「ホワイトリスト」に基づく機能制限に関して、理想に近いシステムです。つまり、POSシステムには、一般的なソフトウェアをインストールする差し迫った必要性がありません。また、システムの「特定用途化(ロックダウン)」により、POSシステム上で不正プログラムを実行させるのが難しくなります。

また一方、今回の事例のような、POSシステム上にインストールされた不正プログラムによって実行された大規模な攻撃は、個人レベルではほぼ不可能です。POSシステム上に不正プログラムをインストールするために、なんらかの管理ソフトウェアと遠隔操作を利用した可能性が考えられます。ソフトウェアの自動更新機能を利用するシステムが悪用されたのは、今回が初めてではありません。2013年3月および 6月に発生した韓国への大規模サイバー攻撃においても、複数のソフトウェアの自動更新機能が、感染した PC に不正プログラムをインストールするために利用されました。

4,000万件のクレジットカード情報や 7,000万件の個人情報など、ネットワーク上でこれほどの大量の情報が動いたのであれば、それを検知できたはずです。ネットワークを保護するセキュリティ製品があれば、この攻撃に利用された内部ネットワークのトラフィックや、情報が外部に流出する際のトラフィックを検知できていただろうと思われます。

今回の攻撃について、大まかな概要は明らかになっているものの、詳細については公表されていません。具体的にどのようなセキュリティ対策がなされ、攻撃者はそれをどのように回避したのか、実際に回避したのかなどはまだ不明です。しかし、重要な情報を扱う企業は、今回の事例を参考にして、同様の巧妙な攻撃の危険性に晒されないかを判断することができます。今回の米国で発生した大規模情報漏えい事例と同じような状況にある企業は、すべての可能なセキュリティ対策とセキュリティ対策製品が正しく運用され、設定されていること、また、攻撃があったときには、経験を積んだ IT管理者が適切に対処できることを再確認すべきでしょう。

攻撃者にとって価値の高い企業では、通常のエンドポイントのセキュリティ対策はもはや十分でないのは明らかです。前述したように、ネットワークや PC の挙動を検知して防御するセキュリティ対策は、この種の脅威に対峙するために非常に有効です。これらの製品をまだ導入していない企業は、同様の攻撃から防御するために、導入を検討すべきでしょう。今回の事例により、被害にあった企業と同じ状況にある企業が、模倣した攻撃に対峙しなければならない可能性は、十分にあります。

■トレンドマイクロの対策:
今回の攻撃で利用されたと考えられる不正プログラムは、トレンドマイクロの製品では「TSPY_POCARDL.AB」および「TSPY_POCARDL.U」として検出されます。関連した脅威がさらに確認された場合は、弊社は必要に応じて対応方法を公開します。

ネットワークや PC の挙動監視対策としては、ネットワーク監視ソリューション製品「Trend Micro Deep Discovery」や、サーバ向け総合セキュリティ製品「Trend Micro Deep Security」を提供しています。

また、ホワイトリスト登録済みのアプリケーションのみを実行可能とするシステムの特定利用化による対策としては、「Trend Micro Safe Lock」を提供しています。

参考記事:

  • Target: A Warning To System Administrators
    by Trend Micro

    • 参考情報:

  • Information about recent retail data breaches in the United States: an FAQ(英語情報)
    http://blog.trendmicro.com/information-recent-retail-data-breaches-united-states-faq/

    •  翻訳:品川 暁子(Core Technology Marketing, TrendLabs)

    Related posts:

    1. Tor を利用する不正プログラムへの対策 Part 1
    2. 暗号化型ランサムウェアの侵入方法およびその対策について
    3. POSマルウェアによる情報漏えい事例から再考するデータ保護対策
    4. 「Linux」と「Mac OS X」を狙うランサムウェアの解析から今後の動向を予測