米国東海外を中心にコンビニエンスストア、スーパー、ガソリンスタンドを展開しているWawa, Incがカード情報3000万件を漏えいした可能性があります。日本のメディアではあまり報じられていませんが、サイバー攻撃によって実店舗が狙われる攻撃は日本でも警戒すべきかと思いますので、まとめておきます。
事件の概要
米国ペンシルバニア州に本拠を置き、東海外を中心に860店舗 *3 を展開するWaWa, Incがほぼ全ての店舗の決済処理システムにマルウェアが仕掛けられている事を2019年12月10日に検知し、12月12日の時点で封じ込めた。マルウェアはクレジットカードとデビットカード情報を窃取するもので、2019年3月4日~12月12日(約9か月)の間にカード決済をした顧客が影響を受けた。漏えいしたカード情報(の一部)はJoker's Stashでの販売が確認され、3000万枚以上のデータが漏えいした可能性がある。
公式発表
・Wawa Data Security - Updates & Customer Resources(12/19初報・1/28更新)
影響範囲
・2019年3月4日~2019年12月12日までに店舗でカード決済をした顧客のカード情報 *1
・漏えいしたカード情報は、カード情報、有効期限、カード名義人(PIN番号やセキュリティコードは含まない) *1
・ガソリンスタンド(燃料ディスペンサー)も影響を受けた *1
・Joker's Stashで3000万件のカード販売が開始され、データを分析したGemini AdvisoryによるとWawaのデータが多く含まっていると推定される *2
・ZDNetの入手した漏えい(販売されていた)データのサンプルダンプには、Wawaの発表に反して「CVV2(セキュリティコード)」が含まれていた *3
攻撃者
・現時点で攻撃者に関する情報が出ていない
【キタきつね推定】
・Visaの2019年11月のセキュリティアラート(ATTACKS TARGETING POINT-OF-SALE AT FUEL DISPENSER MERCHANTS)では、「最近の攻撃は、大規模で成功した歴史を持つ2つの洗練された犯罪グループに起因しています」とあり、高度の技術を持つハッカー集団の関与があった可能性を示唆しています。
・Visaの2019年12月のセキュリティアラート(CYBERCRIME GROUPS TARGETING FUEL DISPENSER MERCHANTS)では、Wawaの件とは明示されていませんが、「標的となるネットワークのフォレンジック分析により、侵害の可能性がある多数の指標(IOC)が特定されました。 FIN8として知られているサイバー犯罪グループに起因する可能性があります」と書かれており、ハッカー集団としても名高いFIN8の関与の可能性が濃厚です。
侵害に関する情報
・現時点でマルウェア情報、事件詳細(原因)は出ていない
【キタきつね推定】
・公式発表では2つ侵害ポイントがある書き方がされています。まず侵害を12/10に検知したのは「Wawa payment processing servers」(※Wawa決済処理サーバ)です。またマルウェアが実際にカード情報を窃取していたのは「in-store payment processing systems」(※店舗内の決済処理システム)とあり、本社IT系の決済処理サーバと、各店舗でPOSの情報を集約する決済システムの両方がマルウェアの侵害を受けた可能性があると思われます。
・2019年12月に出されたVisaのセキュリティアラートには、「北米の燃料供給者」のデータ侵害分析が書かれています。Krebs on Security *1ではこのアラートがWawaの件であると推測しています。こちらの内容を引用(機械翻訳)しますと、
攻撃者は、従業員に送信されたフィッシングメールを介して商人を侵害しました。メールにはクリックすると、商人のネットワークにリモートアクセストロイの木馬(RAT)をインストールする悪意のあるリンク脅威アクターにネットワークアクセスを許可しました。その後、俳優は企業の偵察を行いましたネットワーク、および資格情報を取得および利用して、POS環境に横方向に移動します。もありましたカード会員データ環境(CDE)と企業ネットワーク間のネットワークセグメンテーションの欠如、横方向の動きを可能にしました。POS環境に正常にアクセスすると、ランダムアクセス支払いカードのデータを収集するために、メモリ(RAM)スクレーパーがPOSシステムに展開されました。
時系列
・2019年 3月 4日 マルウェア感染 *1
・2019年 4月22日 ほぼ全店舗でマルウェア感染 *1
・2019年12月10日 情報セキュリティチームがマルウェアを検知 *1
・2019年12月12日 マルウェアの封じ込めに成功 *1
・2019年12月19日 事件を公表(初報) *1
・2020年1月28日 Joker's Stashでのカード情報販売記事が報じられる *2
・2020年1月28日 公式発表が更新 *1
キタきつねの所感
Visaの12月のセキュリティアラートが、Wawaの件を指している可能性が濃厚ですので、この内容を見てみると、侵害の起因がフィッシングメールであった事は、多くの侵害事件と同じく、「人の脆弱性」を狙った攻撃への対策が重要である事を示しています。
しかし、侵害が社内メール等のネットワークからカードデータ環境(CDE)に入れた、つまりPOSシステムへの横展開(ラテラルムーブメント)されている事から考えると、恐らくWawaはPCI DSS違反をしており、ネットワーク分離(セグメンテーション)が不十分だったと推定されます。
攻撃者は社内ネットワークにRATを仕掛け、ネットワークの偵察を行い、認証情報を窃取した上で、POSシステム環境に侵入し、RAMスクレイパーのマルウェアを店舗の決済処理システムにばら撒く事に成功した、これが恐らく事件の経緯だと思われます。
特に米国で多い、対面加盟店におけるPOSシステム侵害についてはWawaに限らず内部システムにマルウェアを仕掛けられる攻撃が2013年に発生したTargetの事件以降は顕著です。EMV(ICクレジットカード)が導入されて、事件の影響は磁気カード全盛期の頃よりも減ってきていますが、個人的には狙われてないだけで、日本でも対面(大規模)加盟店は同じような攻撃を受けた場合に脆弱な所もある気がします。
Wawaはカード情報を自社で取り扱う関係上、PCI DSS準拠は当然していたと思われます。規定されているセキュリティ対策がどうして機能しなかったのは分かりませんが、RAMスクレイパーが各店舗に仕掛けられていて、例えそれがAPT攻撃だったとしても、9か月検知できなかった、この事に問題があった気がします。
日本の対面加盟店(企業)がこの事件から学べる事として、(PCI DSS準拠は別にして)考えられるのは以下のポイントかと思います。
・フィッシング対策(従業員教育)
・ICカード対応(EMV対応、磁気データ保護)
・重要ネットワーク保護(ネットワークセグメンテーション)
・通信暗号化(P2PE、トークン化)
・侵害が成功する事を考慮した検知・対処能力の向上(整合性監視、ログ監視)
記事を書いている2/8時点でWawaの発表(セキュリティコードは漏えいしてない)と、ZDNetのサンプルデータ(セキュリティコードを含む)には矛盾があります。RAMスクレイパーだと、この情報は漏えいしない「はず」なので個人的にはどうやってこの情報を直接窃取できたのかは分かりません。ZDNet記事やその他の海外記事もこの部分を説明している所がないので、続報(出ればですが)待ちですが、カメラを全店舗のPOSに仕掛けるのは現実的では無いので、他の漏えい事件でのセキュリティコードをマージしたのかと想像します。
※ZDNet記事の画像を引用させていただくと、赤くマスキングされている所がセキュリティコードの様です。
参考:Visaのセキュリティアラート
・ATTACKS TARGETING POINT-OF-SALE AT FUEL DISPENSER MERCHANTS 2019/11
・CYBERCRIME GROUPS TARGETING FUEL DISPENSER MERCHANTS 2019/12
調査ソース
本日もご来訪ありがとうございました。
Thank you for your visit.
更新履歴
