サイバー犯罪者がクレジットカード情報を求める貪欲さには、際限がありません。オンラインで情報を盗み出す手口はいくつもありますが、なかでも狙われやすい標的が POS システムです。小売店の店頭レジ端末(POS)システムにおける購買額の 60% が、クレジットカードまたはデビットカードを使って支払われているという統計もあります。大規模な小売店では POS システムを使って毎日何千件という取引が処理されていることを考えれば、大量のクレジットカードデータを入手しようとしているサイバー犯罪者が POS 端末を集中的に狙うのも当然でしょう。POS システムに対する攻撃の手口と、その攻撃から身を守る方法については、「Attacks on Point of Sales Systems(POS システムに対する攻撃)」と題したホワイトペーパー(英語)を参照してください。
今でも、クレジットカードやデビットカードのデータを各種の形式で公然と販売しているインターネットフォーラムが多数存在します。特に知られているのが「CVV2」というフォーラムで、ここではクレジットカード番号とともに、通常はカードの裏面に記載されている CVV2 セキュリティコードも売られています。カード番号と CVV2 コードだけでもオンラインショッピングは可能になりますが、一部のフォーラムではさらに儲けにつながる「Track 2」というデータまで売られています。Track 2 は、カードの磁気テープに記録されているデータの簡略形式で、このデータがあれば犯罪者はカードを複製してさらに利益につなげることができます。実店舗でもカードを使えるようになり、暗証番号まで手に入れれば ATM も利用できるからです。データの価値はオンラインフォーラムでの販売価格に反映されますが、その価格はデータの種類によって大きく異なります。CVV2 データの販売額はカード 1 枚あたり 0.1 ~ 5 ドル程度ですが、Track 2 データとなるとカード 1 枚あたり 100 ドルにも相当する場合さえあります。
図. インターネット上のフォーラムで売られているクレジットカードデータ
では、犯罪者はどうやってクレジットカードのデータを手に入れるのでしょうか。よく知られているのはスキミングという手口で、POS 端末に別の装置を取り付け、そこで使われたカードから Track 2 データを読み取ります。ただし、この手口では POS に物理的に接触しなければならず、取り付ける装置の費用もかかるため、大々的に実行するのは容易ではありません。この問題に対処するために犯罪者が注目しているのが、POS マルウェアというソフトウェアによる解決策です。POS マルウェアで大規模小売店を狙えば、1 回の攻撃で何百万枚ものカードのデータを集めることができます。
POS マルウェアは、カードデータの処理過程におけるセキュリティのギャップを悪用します。カードデータは、決済承認のために送信される段階では暗号化されますが、実際に支払いが処理される段階、つまり代金を支払うために POS でカードを読み取らせる瞬間には暗号化されていません。犯罪者がこのセキュリティのギャップを初めて悪用したのは 2005 年のことで、アルバート・ゴンザレス(Albert Gonzalez)が仕組んだ攻撃活動によって 1 億 7,000 万枚ものカードデータが盗難に遭いました。
それ以来、マルウェアが供給販売される市場も成長し、POS 端末のメモリから Track 2 データが読み取られるまでになっています。ほとんどの POS システムは Windows ベースであり、そこで稼働するマルウェアを作成するのは比較的簡単です。このマルウェアは、メモリの中から Track 2 データのパターンに一致するデータを検出することから、メモリ読み取りマルウェアと呼ばれています。該当するデータがメモリで見つかると(カードを読み取るとすぐに出現する)、データは POS 上のファイルに保存され、攻撃者はこのファイルを後から手に入れます。POS マルウェアのなかでも特に有名なのが BlackPOS で、これはサイバー犯罪フォーラムで売られています。シマンテックは、このマルウェアを Infostealer.Reedum.B として検出します。
POS マルウェアを手に入れた攻撃者が次に実行しなければならないのは、マルウェアを POS 端末に仕掛けることです。POS 端末は通常はインターネットに接続されていませんが、企業ネットワークには何らかの形で接続されています。そこで、攻撃者はまず企業ネットワークへの侵入を試みます。これには、外部向けのシステムにおける脆弱性を悪用すればよいので、たとえば Web ブラウザで SQL インジェクションを利用するか、メーカー設定のデフォルトパスワードをそのまま使っている周辺機器を探します。ネットワークにいったん侵入したら、さまざまなハッキングツールを使い、POS システムをホストしているネットワークセグメントにアクセスします。POS マルウェアをインストールすると、攻撃者は攻撃活動が気付かれないように対策を講じます。これにはログファイルの消去や、セキュリティソフトウェアの改変などの方法がありますが、いずれの場合も、攻撃が存続し、できるだけ多くのデータを収集することができるように細工を行います。
残念ながら、この手口によるカードデータの盗難は当面続くものと予想されます。盗まれたカードデータは、使える期間が限られます。クレジットカード会社は異常な消費パターンを迅速に見つけますが、用心深いカード所有者もそれは同様です。つまり、犯罪者は「新鮮な」カード番号を常に手に入れる必要があるということです。
幸いなことに、小売業界は最近あった同様の攻撃から教訓を学んでおり、同じ攻撃の再発を防ぐ手段を講じています。決済のテクノロジも変わるでしょう。米国では、小売店の多くが EMV あるいは「チップアンドピン」方式の決済テクノロジへの移行を進めています。「チップアンドピン」方式のカードは、複製がはるかに難しいため、攻撃者にとっては魅力が乏しくなっています。もちろん、新しい決済方法も登場する可能性があります。モバイルすなわち NFC による支払いがもっと一般的になれば、スマートフォンが新しいクレジットカードになるかもしれません。
サイバー犯罪者がこうした変化に対応することは明らかですが、小売業界が新しいテクノロジを導入し、セキュリティ企業による攻撃者の監視も続くことから、大規模な POS 窃盗はますます困難になり、犯罪者にとってうまみが少なくなることは間違いないでしょう。
POS システムに対する攻撃の手口と、その攻撃から身を守る方法については、シマンテックのホワイトペーパー「Attacks on Point of Sales Systems(POS システムに対する攻撃)」(英語)を参照してください。
詳しい情報については、以下のブログもぜひお読みください。
アンダーグラウンドのブラックマーケット: 盗難データ、マルウェア、攻撃サービスの取引が盛況
POS malware: Potent threat remains for retailers(POS マルウェア: 小売業にとっての大きい脅威続く)(英語)
{エディターからのコメント: この記事は、2014 年 2 月 3 日に公開した第 1 稿を、最新情報に基づいて更新したものです}
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
【参考訳】