Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

Forever21のPOS侵害事件(続報)

12月3日に海外で報じられたニュース記事を元に、Forever21のPOS侵害事件について記事を上げていますが、1月2日にForever21から正式リリースが出ていました。

 

■公式発表 Forever 21 Reports Findings from Investigation of Payment Card Security Incident

    (11月7日の発表)Notice of Payment Card Security Incident

 

参考:12月3日記事

foxsecurity.hatenablog.com

リリースの重要そうな所をピックアップすると、

The investigation found that encryption was off and malware was installed on some devices in some U.S. stores at varying times during the period from April 3, 2017 to November 18, 2017.

When encryption was off, payment card data was being stored in this log. In a group of stores that were involved in this incident, malware was installed on the log devices that was capable of finding payment card data from the logs, so if encryption was off on a POS device prior to April 3, 2017 and that data was still present in the log file at one of these stores, the malware could have found that data. (公式リリースより引用)

(概要訳)2017年4月3日~11月18日まで暗号化がオフでありマルウェアが米国店舗のいくつかの端末に仕掛けられていた事を調査で発見した。暗号化がオフな場合、決済カードデータはログに保存される。事件に巻き込まれた店舗ではマルウェアがログ端末にインストールされ、決済カードデータをログから補足できたため、もしPOS端末の暗号化が2017年4月3日以前もオフだった場合、(被害を受けた)これらの店舗のログファイルにまだ存在し、マルウェアはデータを発見することができた可能性がある。

 

気になるのは日本のForever21店舗もPOSマルウェア被害を受けているのか?という点ですが、国際チェーンのホテルがマルウェア被害を受けた時とは違い、どうやら別なシステムを使っているようで、現時点では被害を受けた証拠は出てきてないようです。(以下の正式リリース参照)

 

Forever 21 has been working with its payment processors, POS device provider, and third-party experts to address the operation of encryption on the POS devices in all Forever 21 stores. Forever 21 stores outside of the U.S. have different payment processing systems, and our investigation is ongoing to determine if any of these stores are involved. 

 (概要訳)Forever21は決済プロセッサー、POSベンダー、サードパーティの専門家と共に、Forever21の店舗POS端末の暗号化運用について調べている。米国以外のForever21店舗は、異なる決済プロセシングシステムを使っており、これらの店舗が関係しているかどうかも調査中である。

 

◆キタきつねの所感

11月のデータ侵害の可能性を発表したリリースから、あまり情報が開示された印象がありません。米国では12月が最大のセール期間という事もあり、Forever21側が事件の印象を薄れさせようとしているのか、とも推測しましたが、調査にかなり時間がかかりそうという中間発表的な今回のリリース内容でしたので、単に被害の全容がつかめて無い、のだろうと思います。

しかし、お粗末だなと思うのが、2015年に導入した暗号化ソリューションがオフにされていた、誤解を恐れずに言えば、何故オフに出来るようなソリューションが存在が導入されていたのか?この疑問にまったく今回のリリース発表内容は答えてくれていません。

アンチウィルスソフトで言えば、運用スピードが落ちるからといって、常駐監視を切っていたとすれば、本末転倒という事は多くの方が理解できるかと思います。それと同じことで、暗号化が正しく稼動していれば、マルウェアによってカード情報漏えいにまでは繋がらない(可能性が高い)訳ですから、暗号化ソリューションをオン/オフできる機能というのは店舗側には必要ないと考えるのが妥当でしょう。また仮に情報システム側あるいは暗号化ソリューションベンダーが、店舗での暗号化ソリューションの導入設定を間違っていたのだとすれば、テストをしてないで実運用を開始した、、という大きなミスが存在したことになります。

Forever 21 store has multiple POS devices, and in most instances only one or a few of the POS devices were involved.

店舗POSは複数のベンダーのものを使っている、というリリース記載でしたので、特定のPOSにのみ暗号化ソリューションから外れていたという可能性もあります。Forever21はどこのPOSベンダー端末が被害を受けたかを公表していませんので、他社にも大きな影響が出る可能性が高い大手ベンダーPOSが被害を受けたとも考えられます。

いずれにせよ発表された情報が断片的すぎて、他社が参考にすべき脆弱点が分からない、というのが正直なところです。月並みになりますが、この事件を受けての対策案としては、OSやソフトウェアアップデート、FW等々の出入り口対策、エンドポイント(アンチウィルス)強化、、、程度しか言えないのですが、もっと危ない脆弱なポイント(同様な脆弱性を他社が狙われる可能性)が隠れている気がします。

 

www.bankinfosecurity.com

 

もう1点、前回の記事を書いた時も思ったのですが、日本のメディアがほとんどこの件を報じてない、というのも(余計な事ですが)気になります。日本で代表的なアパレル(ファーストファッション)と言えばユニクロ辺りになりますが、日本でも支店がある大手アパレル会社が被害を受けている事件にしては感度が低いなと思います。

日本では2020年に向けてPOS周りも暗号化(PCI DSS対応)あるいは”非保持”的なPOSの導入(検討)が進みつつありますが、海外のこうした攻撃手法が日本のPOS環境で影響を受けないという保障はまったくありません。またForever21の事件内容(狙われた脆弱点)によっては、現在進めている対策案が不十分である事も考えられます。そうした意味において、日本でも多くの企業がこの事件をウォッチしていく事が求められていると言えるかもしれません。

 

 

コンビニ払いのイラスト

 

更新履歴

  • 2018年1月4日 AM(予約投稿)