Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

Applebee'sレストランのカード情報漏えい事件

Tripwireの3/5記事に米国のレストランチェーンApplebeeの店舗POSシステムがデータ侵害を受けてクレジットカード情報を流出したおそれがあると報じていました。

www.tripwire.com

■公式発表

 Notice of Data Incident

 

f:id:foxcafelate:20180310071319p:plain

Applebeeレストランは、全米を中心に2,000店舗以上展開するカジュアルダイニング・レストランチェーン。1980年にアトランタで創業され、世界17カ国にフランチャイズ展開しています。このレストランチェーンを展開しているRMH Franchise社が3/2に公式発表を出しています。事件はまだフォレンジック調査中の様ですが、Fortune誌の記事によれば、全米の15州/167店舗が被害を受けた可能性があるとの事。

 

States with Applebee’s locations that were impacted by the security intrusion are Alabama, Arizona, Florida, Illinois, Indiana, Kansas, Kentucky, Missouri, Mississippi, Nebraska, Ohio, Oklahoma, Pennsylvania, Texas, and Wyoming. (Fortune3/9記事より引用)

 

(初期調査に携わった)専門家のコメントでは、RMH社保有のPOSシステムに対して不正なソフトが置かれて、カード情報をキャプチャーされた可能性が高い。漏えいした可能性がある情報は、顧客情報、クレジット/デビットカード番号、有効期限、カード確認コード。RMH社が事件に気づいたのは2月13日。Fortune3/9記事より翻訳引用)

 

 

◆キタきつねの所感

まず最初に挙げたいポイントは、記事を書いている3/10時点で日本語の記事が見当たらないという事。私感になりますが、海外記事(発表)に対しての感度が弱い方が多いのが気になります。

Applebee'sを展開するRMH社は比較的手広くビジネスを行っています。全世界で2,000店舗(全米1,800店舗)以上を展開という規模について、単純比較はできないのですが、日本ではガスト(1,367店舗サイゼリア(1,071店舗)ジョイフル(789店舗)ですので、(米国人口が日本の倍以上という事だけで見ると)日本で言えば『サイゼリア』クラスのレストランチェーンがデータ侵害を受けたと言えば、事件の影響度が分かるでしょうか?

別な記事を読むと事件発生は2017年12月6日~2018年1月2日(一部店舗では11月23日又は12月5日~)とあるので、米国のクリスマス商戦での(クレジット/デビット)カード決済データを狙ってマルウェアを仕掛けてきたという事に他なりません。

事件の手口に関しては、RMH社の公式発表によると、POSシステムは閉域ネットワークだったようです。内部に入られると閉域網は極端に弱くなるといわれるのは可用性(システムが動かなくなった場合の影響)の考慮で最新パッチが当たってない事が多いからですが、その弱点を突かれた事件なのかと思います。

この閉域網を狙う攻撃は、米国流通のTarget、Homedeptなど、延々と続いています。磁気カードからICカードに変わる事によって(P2PE等の暗号化実装が進み)店舗POSを狙った、こうした攻撃は減少していくものと思いますが、同じような”攻撃成功事例”が続いていることを考えると、やはり企業側の『閉域網への過信』を狙われており、防衛に失敗しているケースも多い事については日本企業も考慮すべきかと思います。

時系列を考えると、不正ソフトがPOSシステムに仕掛けられた事を3ヶ月以上RMH社(防衛)側は気づいていません。閉域網も襲われるかも知れないという意識が無いのは、閉域網(防御)にセキュリティのウェイトが高くなって、検知・回復という部分があまり考慮されてなかったからだと思います。

POSを狙うマルウェア等の攻撃が米国で続いているわけですから、当然日本にもこうした攻撃はやってくるという前提でセキュリティ対策を考えていく必要があるかと思います。フォレンジック調査結果がRMH社から発表されるかは分かりませんが、メモリに展開されるカード情報を狙ったマルウェアだった可能性は高い気がします。

 

もう1点気になったのが・・・テーブル決済(タブレット)をApplebee'sが導入していた点。EMVICカード)決済対応も実現しているので、こちらのネットワークを通るカード情報も侵害を受けたとすると、日本企業がとても気にすべき脆弱性が出てくる可能性もあったのですが・・・

appleinsider.com 

info securityの記事によると、 テーブル決済端末には影響は無かったようです。

Payments made online or using self-pay tabletop devices were not affected by this incident.

 

米国では日本でも展開するWendy'sForever21だけでなく、Arby’s、Chipotle、 Shoney’s等々、レストランチェーンのPOS侵害事件は続いています。日本のPOS機器のセキュリティ機能はよく分かっている訳ではありませんが、『狙われている』という意識を強くして全体ネットワークを改めてレビューする事が必要な時期に来ているのではないでしょうか?

 

参考: カジュアルレストランFCの巨人「アップルビーズ」特集

 

foxsecurity.hatenablog.com

foxsecurity.hatenablog.com

 

更新履歴

  • 2018年3月10日AM(予約投稿)