Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

PDQのクレジットカード情報漏えい事件

米国フロリダベースのレストランチェーンPDQ社が外部からのサイバー攻撃を受け、クレジットカード情報を漏えいしたと発表しました。

www.eatpdq.com

 

■公式発表

 Important Information for our Guests On Data Breach

 

事件の状況 
  • 2017年5月19日~2018年4月20日までにかけてデータ侵害が発生
  • 漏えいしたデータはPOSシステムの決済データ
  • 漏えい件数は不明
  • 氏名、クレジットカード番号、有効期限、カード認証コード(※カード裏面のセキュリティコードではない)
  • PDQがカード情報漏えいに気づいたのは2018年6月8日
  • 外部ベンダーのリモート接続ツール経由で侵入された可能性が高い

 

◆キタきつねの所感

PDQはフロリダ拠点で全米11州で70店舗を展開するカジュアル・チキンレストランチェーンです。タンパ空港などにも店舗があるので使った事がある方も多いかも知れません。そして決済サーバへの侵入(脆弱性)は、多くの米国でのデータ侵害事件がそうであるように、リモートアクセスが狙われました。

昔だと、pcAnywhereを仕事で使っていた事がありますが(今は販売修了のようですね)、そうしたツールは、メンテナンス等で非常に便利である反面、特権ユーザでのアクセス(メンテナンス理由だと特に)付与となる事が多いので、もしそのログイン情報をハッカーに窃取されると、大きな被害を受けてしまう事が多いとも言われています。

PCI DSS等々では外部(リモート)アクセスには多要素認証を導入するように求めているのも、外部からの攻撃ルートとして怖いからだと思います。

POSデータに関しては、最近ではICカード普及率向上によって暗号化データ(被害を受けてもハッカーが使えない)となる事が多いのですが、PDQ社の発表ではカード情報が漏れた事を示唆していますので、磁気カードを含めて内部で非暗号(平文)データとしてカード情報が何らかの形で持たれていた可能性もありそうです。

日本ではPOSネットワークを狙った攻撃は、ほとんど聞いた事がありませんが、米国の次は日本が狙われる可能性が高いとも言われているので安心はできないかと思います。日本で多い、閉域ネットワークだから安全という考え方は、無線も含めて様々なネットワークが接続されている(意図しない接続に気づいてない)事も多いので、日本の流通企業のPOSシステムが襲われる事件が、近い将来出てきてしまうのではないかと予想しています。

 

米国では、ここ最近の事例を見る限りでも、Jason's Seli, Arby's, Sonic Drive-in, Pizza Hut, Wendy's、最も近い事例だとApplebee'sと、POS(カード情報)を狙ったサイバー攻撃が続いています。日本でも同じ脆弱性がないかどうか、店舗POSシステムを構築されいる事業者は今一度、点検をされる必要があるかも知れません。

 

foxsecurity.hatenablog.comJ

ãã­ã³ã¬ã¼ã¹ã®ã¤ã©ã¹ãï¼ãã¯ããªï¼

 

更新履歴

  • 2018年7月22日AM(予約投稿)