Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

米国の店舗チェーンRutter'sが運営する71か所のPoSマルウェア感染システム

クレジットカード情報漏えい事件 海外事件 PCI DSS つぶやいてみた。

米国東海岸を中心にコンビニやファーストフード、ガソリンスタンドを展開するRutterがPOSマルウェアの侵害を受けカード情報を漏えいした様です。

www.zdnet.com


 

公式発表

 

2020年1月14日に、調査により、許可されていない俳優が、一部の燃料ポンプおよび一部のコンビニエンスストア内のPOS(Point of Sale)デバイスで使用されるカードのペイメントカードデータに、マルウェアを介してアクセスした可能性があることを示す証拠が特定されました支払い処理システム。マルウェアは、支払い処理システムを介してルーティングされたときに支払いカードから読み取られたトラックデータ(カード番号、有効期限、内部確認コードに加えてカード所有者名が含まれることもあります)を検索しましたただし、コンビニエンスストアでは、チップ対応(EMV)POS端末が使用されています。EMVカードは、トランザクションごとに検証される一意のコードを生成します。コードは再利用できません。その結果、コンビニエンスストアEMV POSデバイスのチップリーダーに挿入されたEMVカードの場合、カード番号と有効期限のみが含まれ(カード所有者名または内部検証コードは含まれません)。さらに、マルウェアは、特定の支払い処理システムに存在する期間中に使用されたすべての支払いカードからデータをコピーしなかったようです。他の顧客情報にアクセスしたという兆候はありません。このインシデントは、ハンドヘルドの「スキマー」がラッターの燃料ポンプに取り付けられた結果ではないことに注意してください。

(公式発表より引用)※機械翻訳

 

キタきつねの所感

つい先日も同じような記事を書いた記憶がありますが、同様な攻撃と言っても差し支えないかと思います。

Wawaのカード情報漏えい事件についてまとめてみた - Fox on Security

 

事件の肝となるのは、支払い処理システム(決済処理サーバ)に何らかの形でマルウェアを仕掛けられ2018年10月1日~2019年5月29日の間)、店舗POSのカード情報が窃取されたという部分なのですが、どこでデータを窃取したかという部分については公式発表を見ても、関連記事を見ても詳細には書かれていません。POSであればメモリスクレイピングだと思いますが(断定はできないのですが)、支払い処理システムの決済データ通信を傍受する攻撃だったのかと推測します。

 

ZDNetの記事では「collected=収集」と表現されており、各POS端末にマルウェアをばら撒くというよりは、吸いあがって来たデータを、支払い処理システム周辺に居座るマルウェア監視し窃取(横取りする)という意味に近い気がします。

Rutter氏によると、マルウェアコンビニエンスストアとその燃料ポンプの一部に設置されたPOSデバイスを介してスワイプされた支払いカードからデータを収集しました。

ほとんどの場合、マルウェアはユーザーの名前、カード番号、有効期限、内部検証コードについて収集したと考えられています。RMVは、EMV対応のPOSデバイスでカードで支払いを行ったユーザーに対して、マルウェアはカード番号と有効期限のみを収集したと考えていると述べています。

ZDNet記事より引用)※機械翻訳

 

 

余談です。日本だと攻撃事例が出てない(少なくても公表されてない)からか、当ブログのPOSマルウェア侵害事件の記事には、あまり関心が無い方が多い様な気がします。

(アクセス数から見るとあまり人気がありません)

 

私個人の予想では、日本において、POSが関与するカード情報漏えいは「いつくるか?」という段階な気がしてなりません。

 

日本のPOSベンダー(=対面加盟店)は当然の事ながら、この手の攻撃への対策をしているかとは思いますが、メモリのカード情報を吸い出す攻撃、つまり決済処理サーバが攻撃を受けた際にこの手の攻撃を確実に検知できるのか?と言う部分については、潜在的な脆弱点を抱えているベンダーもまだ居るのではないかと推測します。

今回の事件では約8か月、重要なシステム内にマルウェア(=ハッカー)が居座っていた事になる訳ですが、ICカードEMV)対応をしており、PCI DSS準拠もしていた(はずの)Rutter'sは、侵害を検知できていません

日本の対面加盟店(POS端末)のICカード化や非保持化(PCI DSS準拠)の実施期限は2020年3月ですので、既に対応済な企業も多くなってきているかと思いますが、同様な対応をしていたはずの米国の対面加盟店でもハッカーの攻撃を防げてない企業が多数いる(=カード情報漏えい事件が発生している)事を考えると、現在の対策だけで必ずしも安全であるとは限りません。

 

そうした意味において、米国でのPOS侵害事件というのは良い教材(※自社が大丈夫であると確認する意味でも)でもあるので、アンテナを張っておくべき方は、今まで以上に気を付けた方が良いかと思います。

 

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

 セミセルフレジのイラスト

 

更新履歴

  • 2020年2月22日 PM(予約投稿)