Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

米国レストランチェーンのカード情報漏えい

PCI DSS クレジットカード情報漏えい事件 つぶやいてみた。

米国の4つのレストランチェーンからカード情報が窃取され、ハッキングフォーラムのJoker's Stashで販売されていたと報じらえていました。

krebsonsecurity.com

 

11月23日に、盗まれたペイメントカードデータを売買するためのサイバー犯罪の地下最大のバザールの1つが、新たにハッキングされた約400万のデビットカードとクレジットカードの即時利用可能性を発表しました。KrebsOnSecurityは、この最新のカードバッチが、米国中西部および東部で最も一般的な4つの異なる侵害されたレストランチェーンから吸い上げられたことを学びました。

ペイメントカード詐欺を追跡し、この話について匿名のままであるように依頼した2つの金融業界筋は、400万枚のカードがレストランチェーンのクリスタル、モー、マカリスターのデリ、およびシュロッツキーによって最近明らかにされた侵害で撮影されたと言いました。Krystalは先月カード違反を発表しました。他の3つのレストランはすべて同じ親会社の一部であり、2019年8月に違反を開示しました。

(Krebs on Security記事より引用)※機械翻訳

 

◆キタきつねの所感

米国では急速にICカード化が進んでいますが、やはりまだまだ磁気取引が多い事がこのカード情報漏えい件数に表れている気がします。400万件を超えるカード情報が、悪名名高きJoker's Stashで販売されていたとありますが、このデータ漏えい元について、Krebs氏やGeminiAdvisoryは、レストランチェーンのKrystal、Bertucci、Planet Hollywood、Earl of Sandwichであると結論づけました。

Krystalは米国南部を中心に342のレストラン(ハンバーガーレストラン)を展開していますが、200以上のレストランが影響を受けたと発表しました。この発表を見ると、2019年7月~9月にかけてPOSからのデータを処理する、支払い処理システムがマルウェア侵害を受けたと発表しています。

krystal.com

 

残り3つのレストランチェーンは、フロリダ州のEarl Enterprisesが親会社であり、2019年2月の段階でJoker's Stashでは既に210万件のカード情報が販売されていたので、一気に全てのカード情報を販売せずに、少し時間が経ってからカード情報を販売したのだと思われます。犯行の詳細は分かりませんが、POSマルウェアを仕掛けられた可能性が3月のKrebs氏の記事で挙げられています。

A Month After 2 Million Customer Cards Sold Online, Buca di Beppo Parent Admits Breach — Krebs on Security

 

続報が書かれてないので、侵入手口は分かりませんが、この記事ではPOSシステムにリモートハッキングでPOSマルウェアを仕掛け、磁気カード情報を吸い上げた、、という手口ではないかと推定されています。

 

米国ではクレジットカードはその多くがICカードに切り替わっていますが、加盟店端末はまだ旧来の磁気決済型のものが多く残っている様です。(※その場合は磁気ストライプでの取引となるので、この手のPOS侵害が発生するとカード情報が漏えいします)

 

磁気カード端末を残す場合は、POS端末あるいは、そこからカード情報が通過するシステムで、非暗号データがPCI DSS準拠(の多層防御)対象となるのですが、Verizon社が発表している「2019 Payment Security Report」では、PCI DSS完全準拠率は全世界データでは36.7%であると報告されており、(※PCI DSS維持が難しいので何らかの脆弱点があったユーザが多い)保護対策が不十分な加盟店が多いと言われています。

f:id:foxcafelate:20191201150353p:plain

おそらく、今回データ侵害を受けた4つのレストランも、何らかの脆弱性ハッカーに(POSマルウェア等で)突かれた可能性が高いかと思います。

 

もう1つKrebs氏の記事の中で懸念されているのが、以前のカード情報漏えい事件はTargetやホームデポなど、数千万件のデータ漏えい被害を受けたのですが、今回の事件は数百万件(200-400万件)です。すなわちセキュリティ対策が強化された大手企業から、中小企業(といっても米国チェーンの場合はそれなりに大きいのですが)に攻撃がシフトしている、そんなところも懸念される動きと言えるかと思います。

 

因みに、日本はPOSのICカード化(非保持化)がようやく完了していく段階です。その過程の中で、いくつかの懸念リスクは残存しながら進めていると漏れ伝え聞きますので、メモリ窃取型のPOSマルウェアや、データ処理システムへの侵害という点では、こうした海外と同様な攻撃は(内側のネットワークに侵入された場合)警戒すべき点が多いかも知れません。


 

本日もご来訪ありがとうございました。

 

 

日本人のためのパスワード2.0   ※JPAC様 ホームページ

7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。

 

 トランプのジョーカーイラスト

 
 

更新履歴

  • 2019年12月1日AM(予約投稿)