Oracleは米国時間8月8日、小売業界向けPOSシステムを手がける部門でデータが漏えいした事実を認めた。同部門はOracleが2014年に買収したMICROS Systemsの事業を取り扱っている。
この件を最初に報道したのはセキュリティジャーナリストのBrian Krebs氏だ。Krebs氏によると、ハッカーらが同部門の管理下にある数多くのシステムを攻撃し、デバイスを使用する顧客向けのサポート用ポータルに不正侵入したという。
Oracleは米ZDNetに宛てた電子メールでデータ漏えいを認めるとともに、「MICROSの特定レガシーシステム内に仕掛けられた悪意のあるコードを検出し、それに対応した」と述べたうえで、Oracle自身のシステムや企業ネットワークの他、同社が提供するクラウドやサービスには影響はないと付け加えた。
またOracleは同メールの中で、MICROSの顧客は速やかなパスワードの変更を求める通知を数日内に受け取ることになると述べている。
Krebs氏は、Oracleが懸念しているのは、今回のシステム侵入の背後にいるハッカー集団が、サポートポータル上にマルウェアを仕掛け、顧客の入力したユーザー名とパスワードを盗み出そうとしている点ではないかと述べている。こういった認証情報を悪用することで、遠隔地からの管理作業の実行や、顧客の小売店に設置されているPOS端末へのアクセスが可能になる。
Oracleによると、支払い関連の情報は、保存や転送に際して暗号化されているため、リスクにさらされてはいないという。
MICROSのデバイスは現在、180カ国の33万カ所以上に配備されている。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
