攻撃者は、ますます多様化しているマルウェアを利用して、POSシステムを標的にした攻撃を続けています。
- 発生件数が多い産業:ホテル、飲食、小売
- 頻度:インシデント総数534件、確認されたデータ漏えい525件
(出典:ベライゾン「2016年度データ漏洩えい/侵害調査報告書」)
アーバーのセキュリティ研究者は先ごろ、バンキング型トロイの木馬Zeusの亜種であるFlokiBotの分析を行いました。Zeusは2009年以降に広まったマルウェアです。これまでに数多くのバージョンと亜種が出現しており、このことは、Zeusが実証済みのマルウェアプラットフォームであり、攻撃実行者が新たなバンキング型マルウェアの作成にあたり繰り返し利用していることを示しています。FlokiBotには、26のボットコマンド、3種類のDDoS攻撃、POSメモリの抽出などの機能があります。
FlokiBotにDDoS攻撃機能が含まれているのは、Zeus系亜種の中では比較的珍しいことです。例えば、ASERTが先ごろ分析した2つのZeus系亜種であるPanda BankerとSphinxは、DDoS機能を備えていません。
Zeus系のマルウェアでPOS機能を持つものは極めてまれですが、POSマルウェアそのものは非常に一般的です。POSマルウェアの仕組みは次のとおりです。店舗で顧客のクレジットカードを読み取ると、クレジットカードのデータが(カードの裏側の磁気テープから)POS端末のプログラムメモリに保存されます。
そうしたクレジットカードのデータを入手するために、POSマルウェア(例えばFlokiBot)はコンピュータのメモリを読み取り、クレジットカードのデータ形式に一致するデータパターンを探します。一致するものが見つかると、攻撃実行者にそのデータを送ります。攻撃実行者は、データを利用して偽のクレジットカードを作成するか、地下フォーラム(「カードショップ」と呼ばれています)でデータを販売し、データの購入者が偽のクレジットカードを作成します。
小売業者にとっては笑えない話です。2013年以降、セキュリティ担当部門はPOSのセキュリティに着目してきました。ベライゾンの「2016年度データ漏えい/侵害調査報告書」によると、攻撃者にとっては厳しい状況になってきています。
「データ盗難や大規模組織のデータ漏えいはいずれも、静的な単一要素認証を利用しています。攻撃者は、環境へのアクセスに必要な、有効かつ非標準型の認証情報に不正に侵入するためにすべきことがあることから、さらなる努力が必要です。さらに、インターネットから直接ではなく、ネットワーク上の拠点から盗んだ認証情報を公開しています。」