レジやPOSを狙うマルウェア

昨年末に米国の小売大手で大規模なデータ漏えいが発生しました。その攻撃に使われていたのは、レジやPOS端末を狙うマルウェアです。

pos

直接影響を受けたのは米国の人々だけだったようですが、昨年末に米国の小売大手Targetが大規模なデータ漏えいの被害に遭ったことはご存知の方もいるでしょう。およそ4,000万人の顧客のクレジットカード情報に加えて、7,000万人分の個人情報が漏えいした今回のセキュリティ侵害は、1か月近く続いて米国のホリデーショッピングシーズンとほぼ重なり、Targetの米国店舗の大半に影響が出ました。

Targetの何千万人もの顧客のクレジットカードデータを盗むためには、支払処理システムかTargetの企業サーバーに侵入して、すべてのデータを一箇所からまとめて盗まなければならないと思うかもしれません。確かにこれは大量の支払データを大手小売企業から盗むには効果的な方法ですが、興味深いことに、Targetの事件ではこの方法が使われなかったようです。

むしろ、Targetの支払処理システムは今回の侵入とほとんど関係がありませんでした。この攻撃の犯人が使用したのは、主にカードリーダーとレジを狙う特殊なマルウェアで、POSマルウェアとも呼ばれています。

POSマルウェアは、この復号されたRAMデータをかき集めて、カード番号、ユーザー名、住所、セキュリティコードといった支払情報など、トラック1とトラック2のすべての支払カードデータを盗み出すように、特別に設計されています

誤解のないように説明しておくと、攻撃者が何らかの方法でTargetの支払処理サーバーに侵入したことはほぼ間違いないと思われます。しかし問題は、カードデータがサーバーに到達したときには、情報がすでに暗号化されていたということです。とはいえ、その情報が支払の承認のために平文に復号される時間はほんの少ししかありません。そのときに、レジ自体(システムによっては近くのサーバー)が支払データを平文でランダムアクセスメモリ(RAM)に保存します。

ここでPOSマルウェアが暗躍します。POSマルウェアは、この復号されたRAMデータをかき集めて、カード番号、ユーザー名、住所、セキュリティコードといった支払情報など、トラック1とトラック2のすべての支払カードデータを盗み出すように、特別に設計されています。この種のマルウェアはRAMスクレーパーと呼ばれており、少なくとも6年ほど前から出回っています。

Targetの事件では、攻撃者がPOSマルウェアを、中央の接続されたサーバー(あるいはマシン)から、POS端末か、承認プロセスが行われるサーバーに移したようです。そうしなければ、Targetの全店舗のすべてのPOS端末にRAMスクレーパーをインストールしなければならなかったでしょう。それは控えめに言っても、極めて可能性の低い方法です。

この事件を調べたSeculertの研究者は、攻撃者はTargetのネットワーク内の感染したマシンから、同社のPOSインフラストラクチャに侵入したとの見方を示しました。そこから、人気のBlackPOSマルウェアの亜種がインストールされたと見られています。BlackPOSはオンラインの犯罪ハッキングフォーラムで簡単に購入できます(どこを探せばいいかわかっているという前提ですが)。

米国土安全保障省(DHS)、米国シークレットサービス(USSS)、米国家サイバーセキュリティ・通信統合センター(NCCIC)、米金融情報サービス共有センター(FS-ISAC)、iSIGHT Partnersなどが共同で発表した勧告書には、BlackPOSは先ごろソースコードが公開されたため、非常に簡単に入手できると書かれています。

しかし、POSマルウェアはBlackPOS以外にもありますし、この脅威に直面している小売企業は決してTargetだけではありません。実際に、高級百貨店Nieman Marcusや工芸品販売のMichaelsも同様の攻撃を受けたと発表しています。この3件のセキュリティ侵害はすべて関連しているという見方もありますが、そのような主張は推測の域を出ません。

先述の各機関が共同で発表した勧告書は、POSマルウェアが間もなく爆発的に増加すると警告しています。勧告書によると、新しいサンプルの大半はZeusなど既存のバンキング型トロイの木馬を簡単に改造したものになるそうです。POSマルウェアが犯罪者の間で普及し、警察当局の目にとまるようになれば、RAMスクレーパーの作成者は(バンキング型トロイの木馬の作成者がそうだったように)、検知が難しいカスタムメイドのトロイの木馬を作成して、個別に販売するようになるでしょう。

DHSと各機関は、フリーランス開発者のフォーラムでPOSマルウェアの広告が(さまざまな言語で)増加していることに気づきました。つまり、犯罪者は求人広告のようなものを掲載して、フリーの開発者にお金を払ってRAMスクレーパーを開発させようとしているのです。各機関は2010年にも同様にPOSマルウェアが増加したと主張しています。POSマルウェアのアウトソースプロジェクトの価格は、2010年初頭は425ドル~2,500ドルでしたが、このマルウェアへの関心が高まり続けたことで、2010年の終わりには6,500ドル以上に相場が上昇しました。

さらに彼らは、認証情報を盗む既存のトロイの木馬のうち、ソースコードが公開されているものは、RAMからデータを抽出するように簡単に変更できるため、それによってPOSマルウェアの拡散が進むと考えています。

勧告書には次のように書かれています。「認証情報を盗むマルウェアの流出したソースコードが、まったく新しいタイプのマルウェアを一から作る技術がない者や、既存のマルウェアを利用して自分の計画を最大限に効率化しようとする者の足がかりとなる可能性があります。このように市場への参入障壁が下がっているため、販売されるPOSマルウェアの種類が増え、それによって価格が下がり、ユーザー数が増加する恐れがあります。」

これが重要な点です。サイバー犯罪のあらゆる側面が、このような図式になっています。最初は真新しく、実行が困難で、再現するのが難しかった攻撃も、やがて難易度が下がり、あまり技術がない攻撃者でも実行できるようになります。さらに、熟練した攻撃者が、簡単に使える攻撃キットを開発し始めて、キーボードと悪意を持つ人なら誰でもサイバー犯罪を実行できる可能性が出てくるのです。

これも一般のユーザーにはほとんど対処のしようがない状況です。もちろん、近所の食料品店に入って行って、POSインフラストラクチャを管理しているどうしようもないほどぜい弱なWindows XPマシンを、一つ残らず新しい安全なOSに入れ替えることなどできません。また、お店がベストプラクティスに従っていることや、ネットワーク内のすべてのマシンが安全であることを確認するためにできることは皆無と言っていいでしょう。

また別の問題として、我々の知らないところで多くのセキュリティ侵害が発生している可能性があります。被害を受けた企業が不誠実だったという場合もあれば、単に誤った情報が伝えられていたという場合もあるでしょう(侵入の事実を認めない、侵入が起きたことを把握していない、など)。しかしTargetの場合は、極めて迅速に、そしてとても正直に申し出ました。ほとんどの銀行は、顧客に注意を呼びかける案内をWebサイトに掲載しました。それによって、自分の口座を確認し、情報が流出した可能性のあるカードを交換する機会が得られました。実質的に、私たちにできるのは、ニュースを読んで、口座の残高を確認し、必要が生じたときに新しいカードを発行してもらうことだけです。

ヒント