Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

Caribou Coffeeのデータ漏洩

先週末で年内中の大きな締め切り仕事の山を越えたので、ようやく海外記事を読む気力がでてきました。日本ではあまり報道されてない漏洩事件も発生していたので取り上げてみます。

www.adweek.com

Customer data was stolen from more than 200 Caribou Coffee locations, the Minneapolis-based coffee chain said on Thursday.

In a letter to loyalty customers, Caribou Coffee said credit card data and other information was stolen from as many as 265 locations in Minnesota and other states, including Colorado, Florida, Georgia, Iowa, North Carolina and Wisconsin.

The company said it first noticed “unusual activity” on Nov. 28 and started working with the cybersecurity firm Mandiant. On Nov. 30, Mandiant determined the breach occurred through the company’s point-of-sale system.

(Adweek記事より引用)

 

公式発表 Data Security Notice 

f:id:foxcafelate:20181223112533j:plain

◆キタきつねの所感

カリブコーヒーは米国で大規模展開するチェーンです。私も米国でお世話になった事がありますが、日本では店舗展開をしていないのでそんなに知名度はありませんが、米国では結構よく見かけるスターバックスの様なコーヒーチェーンです。

f:id:foxcafelate:20181223112701p:plain

このロゴを見たことがある人も多いかも知れません。

今回の発表を見ると、米国の200店舗以上のPOSシステムからクレジットカード情報が漏洩した様です。事件の詳細手口については公式発表やニュース報道には出てきていません。FireEyeの子会社である事件調査でよく出てくるMandiantが調査をしている最中だからなのかも知れません。

 

侵害の規模から、当該200店舗+のデータを処理する上位サーバ(決済サーバ)が侵害を受けたのかなと勝手に想像しますが、Target社の事件の様に、POS上のメモリを襲うマルウェアだったという可能性も考えられます。

改正割賦販売法(実行計画)に沿って”カード情報非保持”を実現しようとしている、日本の対面加盟店(百貨店等々)は、こうしたPOS系への攻撃について、同じ手口が成り立たないかという観点で情報をウォッチしていく事をお勧めします。

Caribou Coffeeは恐らくPCI DSS準拠であったと思われますが、それでも漏洩しているのです。カード情報非保持、という外部の第三者監査が要らない仕組みについては、その実装に穴が無いかをよく検証する事が必要なのだと、こうした米国の事件は語っているのだと思います。

 

米国でPOS(対面加盟店)周りで事件が未だに発生している理由ですが、下記の記事に継続的なセキュリティ体制(PCI DSS準拠)維持が特にリテーラーで難しい事がかかれています。併せて対面加盟店の方々は読まれると脆弱性がわかるかも知れません。ご参考まで。

www.infosecurity-magazine.com

 

ã³ã¼ãã¼ã¡ã¼ã«ã¼ã¨ã³ã¼ãã¼ã«ããã®ã¤ã©ã¹ã

 

更新履歴

  • 2018年12月23日AM(予約投稿)