Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

Saks Fifth AvenueのPOS侵害はフィッシングから?

米国のSaks Fifth Avenue等の高級百貨店を展開するHudson's Bay Company(HBC)が4月1日に米国の一部店舗で使われた決済カードデータが漏えいした件を発表しました。この件について少し調べてみました。

www.itmedia.co.jp

■公式発表

 Saks Fifth Avenue - FAQ

事件の状況 
  • 北米のSaks Fifth Avenue と Saks OFF 5th, Lord& Taylorの一部の店舗(現在判明している漏えいデータは、ニューヨーク州ニュージャージー州の店舗が大多数を占めている)から漏えいした
  • ハッキンググループJoker Stash(Fin7)が3月28日に500万件以上の盗んだクレジットカード・デビットカード情報を販売に出すと発表していた事から事件が発覚。セキュリティ会社が複数の金融機関と協力して調査した結果、HBCの店舗で使われたカード情報である事が判明。
  • 現時点では約12.5万件のデータがDarkWebで販売されている(Lord & Taylor全店、Saks Fifth Avenue83店舗)
  • 漏えい期間は2017年5月~3月末まで
  • eコマースプラットフォームは今回のデータ侵害の影響を受けていない
  • Gemini Advisoryによると店舗のキャッシュレジスター(POS)にソフトウェア(マルウェアが使われカードデータを抽出していた

インシデントタイムライン

日時 出来事
2017/3~2018/3末 NY州とNJ州のHBC傘下の店舗POSから500万件以上のカード情報が漏えいした疑い
2018/3/28 ハッキング集団JokerStash(Fin7)が500万件分のカード情報を売り出すと発表
2018/4/1

Gemini Advisoryが4/1ブログで事件を発表

(Saks Fifth AvenueとLord&Taylorからデータ漏えいした可能性が高いとの記事)

2018/4/1 HBCが事件を発表

 

◆キタきつねの所感

Saks Fifth Avenueと言えば、米国東海岸では有名なデパートチェーンです。日本人旅行客として利用した方も多いかも知れません。北米での小売業はICカード化が急速に進んでおり、セキュリティについてもPCI DSS対応している所が多いはずです。HBO傘下の侵害を受けたチェーンがどうだったかについては発表されていませんので、想像になりますが、平文での通信が残ってしまう磁気カードの決済データを狙われた可能性が一番高いかと思われます。

ICカード決済では、通信電文が暗号化される(はずな)ので、店舗POSからの磁気情報の盗み取りには非常に強く、セキュリティ性の高いPIN入力端末(PCI PTS)と併せて運用する事で、日本において同様の被害を受ける可能性は低くなります。

 

しかし、この事件では2つの観点から日本企業も同様な被害を(近い将来)受けてしまう可能性を強く感じました。

1つはマルウェアの特性です。現在ICカード対応を業界全体で進めている店舗POSですが、一部のPOSでは、完全な暗号化(P2PE)が実現できておらず、瞬間的にPOSのメモリ内に平文でカード情報が残る可能性があると言われています。今回の様なマルウェアは、RAMスクラッパーと言われるものが多く使われるため(当然別の対策はしているものとは思いますが)POSのメモリを狙ったマルウェアが店舗POSネットワークに入ってきてしまった場合には、カード情報を守りきれるか不安な部分を残している気がします。

 

 

もう1点つの懸念が、今回Saks Fifth Avenue等のHBO傘下のデパート店舗の『POSネットワーク網』にマルウェアが入り込んだ手口の部分です。こうしたPOS内部のネットワークは、一般的には閉域網(クローズドネットワーク)にする事が多いかと思います。多くの機器がネットワーク内に配置されているとパッチ管理等が難しくなる点もありますが、店舗POSをインターネットに直接見える状態に置くのは・・・やはり危険性が高いとの認識があるからと言えます。

今回、ダークウェブで盗んだクレジットカード/デビットカード情報を販売したのは、Joker Stash(Fin7)と報道されておりますが、非常に有名なハッキンググループです。米国証券取引委員会(SEC)、Whole Foods、Chipotle、Omni Hotels & Resorts、Trump Hotelsなどの攻撃にも成功しています。特に金融分野と小売、レストランチェーン等に対して過去には攻撃キャンペーンを仕掛けている事がセキュリティ企業でも観測されており、警戒記事もしばしば出ています。

 

参考:

www.fireeye.com

www.fireeye.com

このFin7が得意とする手法は・・・標的型攻撃(フィッシングメール)』です。ヤフーの記事には、このFin7の典型的な侵入手口として、請求書などのクリックを誘いやすいメールを企業の従業員、特に権限を持つ役職者に送付してマルウェア感染させる点が書かれていますが、複数の海外セキュリティ専門家の見立てでもフィッシングだったのではないか、と推測されています。

hackers' typical method is to send cleverly crafted phishing emails to company employees, especially managers, supervisors and other key decision-makers. Once an employee clicks on an attachment, which is often made to look like an invoice, the system gets infected.

Yahoo! Finance記事より、Gemini Advisoryの共同設立者Dmitry Chorineのコメントを引用)

標的型メールの添付ファイルを誰か従業員がクリックしてしまったであろう点は、まぁどこの企業でも問題と考えるかと思いますが、それ以外に何か問題があるの?」と思われる方もいらっしゃるかも知れません。

何が言いたいかと言うと、私は、閉域(であると思われる)POSネットワークに対して、『メール経由でどうやって侵入したか』という所に、隠れた脆弱性が眠っている気がするのです。

 

考えられる手法として・・例えば、

  • メールのネットワークと、POSネットワークが同じネットワークにあった(又はネットワーク分離が正しくなかった
  • メンテナンス等で使われる、外部からのリモート接続権限がメールを通じて盗まれた
  • POSベンダーを偽装してマルウェアが仕込まれたアップデートファイルをシステム管理者に配信し、不正プログラムをインストールさせた

などがあるかも知れませんが、いずれのパターンにおいてもメールから先の閉域ネットワークにたどり着くまでの企業側のセキュリティ実装に何か問題があったと考えられます。

実際どうやって侵入されたのかについては、あまり侵害を受けた企業は発表してくれませんので、直すべき脆弱性が分からないのは残念ですが、米国でのPOS侵害事件は未だ続いていることは間違いなく、そうした事件で攻撃側が得た経験、すなわち『脆弱性』は、日本の小売業に対する攻撃でも使われる可能性が高くなってきている、その認識を日本企業も強くもつべきかと思います。

1年間データ侵害に気づかない高級デパートのIT部門・・・日本でも同じという事はありませんよね?

 

デパート・百貨店のイラスト

 

更新履歴

  • 2018年4月8日PM(予約投稿)