Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。諸々のお問合せ(取材、執筆、各種お問合せ等)はフォックスエスタ (https://foxestar.hatenablog.com/)をご覧ください。

Cheddar Scratchの情報漏えい事件

米国東海岸を中心に展開するレストランチェーンCheddar's Scratch Kitchenがカード情報を漏えいした可能性があるとロイターが報じていました。

www.reuters.com

f:id:foxcafelate:20180825150822j:plain

The Olive Garden owner said its systems and networks were unaffected by the incident, as the breach occurred on a legacy system of Cheddar restaurants chain, which was acquired by Darden in 2017.

Information from about 567,000 payment card numbers may have been exposed through affected restaurants in 23 U.S. states between Nov. 3, 2017 and Jan. 2, 2018, Darden said.

(ロイター記事より引用)

 

◆キタきつねの所感

漏洩した可能性があるのは、56.7万枚のカード番号で、店舗(POS)決済データ(が集まる)古いシステムに対するサイバー攻撃により、昨年11月から今年1月にかけてデータを持ち出されてしまった可能性がある様です。ロイター記事には、Darden Restaurants(運営企業)は、水曜日に関係当局から事件について知らされたとあるので、事件を知ったのは8/22という事になります。

 

Cheddar'sはDarden Restaurantsが2017年4月に買収しています。そして事件発生が、2017年末頃、そして、

The company said it had disabled and replaced the legacy system by April 10 as part of the merger integration process.

(ロイター記事より引用)

古いシステムの更新が2018年4月までに完了していたとあります。

 

中々興味深い時系列であり、買収後に旧システムにハッカーに侵入されて(いて)、システム更新のギリギリでハッカーが逃げていった事になります。

 

推測になりますが、Dardenによって買収された事はハッカー側も知っていたのだと思います。だとすれば、何故ハッカーの攻撃が成功したのかを考えると、

 ・近い将来のシステム更新が予定されていた旧システムに対するセキュリティ投資は最小限であった)

 ・旧システムのセキュリティ、運用要員が首を切られていた、あるいは退職していた体制の弱体化

 ・ハッカー側は暫く窃取したカード情報の悪用を待っていた

  旧システムが物理的に廃棄され、侵入の証拠が消えるまで待っていた)

事が想像されます。

 

こうした考え方が合っているかは分かりませんが、この事件から、日本企業への気づきとして言えそうなのは、POSは相変わらず狙われており、特に飲食系チェーンの事件が多い事、そして企業買収する際は、買収される側の旧システムへのセキュリティリスクを再評価する必要がある脆弱性診断等々)という事でしょうか。

 

更新履歴

  • 2018年8月25日PM(予約投稿)