米国テキサス州が本部で、全米28州に266店舗を展開するカジュアルレストランチェーンのJason's DeliがPOSへのマルウェア侵害により、Dark Webにカード情報200万件が流出した可能性があることを1月11日に発表しました。この件についてまとめてみます。
公式発表
インシデントタイムライン
| 日時 |
出来事 |
| 2017年6月8日~ |
多くの店舗POS端末にRASスクレイピングを行うマルウェアが仕掛けられる |
| 2017年12月22日 |
payment processors(Mastercard security)から顧客のクレジットカード情報がDark Web上で発見されたとの連絡を受ける |
| |
Jason's Deliの経営陣は、大手の脅威対応チーム(leading threat response team)とForensic専門家、法的機関と対応プランを即時に開始
※調査継続中 |
| 2017年12月28日 |
事件の第一報 |
| 2018年1月11日 |
事件の第二報(リリース) |
事件の状況
- 2017年6月8日以降にJason's Deliの店舗160店舗以上でPOS上にRASスクレイピングを行うマルウェアを仕掛けられ、最大2百万件のクレジットカード情報が漏えいしたおそれ
- 流出した可能性のある情報
- 磁気のフルトラックデータ(カード保有者名/有効期限/カード認証値/サービスコード) ※セキュリティコードは漏えいしておらず
原因
- POS端末への侵入経路については情報開示なし(調査中と考えられます)
◆キタきつねの所感
POSへの侵害事件といえば、2017年にはForever21、Sonic Drive-In、Brooks Brothersなどがデータ侵害を発表していますが、古い手法となりつつあるとはいえ、今回も最大で2百万件のクレジットカード情報を取れており、実際にDark Webでの販売まで繋がっていますので、攻撃者側から見るとまだまだ”POS侵害はオイシイ”(金銭的なメリットのある)犯罪なのだと思います。一方で、POSから盗まれたのは(発表によれば)磁気カード情報だけである事から、ICカードへの切り替えが急速に進みつつある米国では、今年もチェーン展開している店舗のPOSが狙われる可能性は高いかと思いますが、ICカード対応が進む来年までには急速に減少傾向にある事は疑いようもありません。
こうしたPOS侵害を生業としていたハッカーは、米国市場で大きな利益を上げてきたわけですが、来年以降収益が上がらなくなると、他の攻撃手法(ランサムウェア等)での犯罪に移動していくか、POS攻撃の手法が使える『他国』に攻撃対象を変えていくと推測されます。
POS対応に関して言えば、日本の対応は世界(の先進国よりも)遅れているといわれています。この辺りはVisaが少し古いデータですが、その懸念(米国→日本へハッカーの攻撃対象がシフトしてくる)について発表しています。
www.paymentnavi.com
加盟店としても、偽造被害の温床であった米国でEMV化が進むと、そのドアが閉められるにしたがって、シンジケートが移り、日本に被害がシフトする可能性もあります。
現在の米国でのICカード切り替えと、日本のICカード化切り替え(POS対応)を考えると、このVisaの予想は現実のものとなる可能性が高くなってきています。また日本でもForever21(下記参照)の様に、セキュリティ対策をとっていた『はず』なのに実際は対策をオフにしていたため、被害を受ける企業も出てくる気がします。
ですので、大規模チェーン展開している対面取引店舗(を抱える企業)は、米国でのPOS侵害事件について他人事とは思わずに、侵入経路や手口についてよく情報を分析しておく事が必要と言えるでしょう。
参考
foxsecurity.hatenablog.com
更新履歴
