ニュース

カード払いしようとしたらレジがWindows XP端末……もう、ネタで済まない時代に。“POSウイルス”日本上陸

 サイバー犯罪のトレンドについてトレンドマイクロ株式会社がまとめたレポート「2014年 情報セキュリティ三大脅威」では、法人・個人に共通した脅威の1つとして“POSウイルス”を挙げている。店舗のPOS(Point-of-Sales:販売時点管理)システムに潜んでクレジットカード情報を窃取するこの不正プログラムが、2014年に国内でも検出されたという。

「2014年 情報セキュリティ三大脅威」では、法人・個人、個人、法人の3領域で、それぞれ三大脅威をまとめている

 トレンドマイクロが全世界で検出したPOSウイルスは、2013年は22台だったが、2014年は1〜3月期だけで156台と7倍に急増。その後、11月末までの累計で467台に上り、前年比では約21倍となった。そのうち35%が米国に集中しており、これには、ICチップ付きカード(EMV仕様)および暗証番号による決済認証に対応した端末が普及していないことが要因にあるという。

 しかし、2014年1〜3月期には日本国内でも初めて検出され、11月までに累計6件が確認されたとしており、日本も、POSシステムを運用する企業や店舗でカードを利用する個人にとって、POSウイルスと無縁ではないと注意を呼び掛けている。

 今年1月上旬に行われた報道関係者向けの説明会で、同レポートについて解説したトレンドマイクロ上級セキュリティエバンジェリストの染谷征良氏は自身のエピソードとして、正月にコートを購入する際にカード決済しようとしたら、端末がWindows XPで、しかもインターネット接続されている(ウェブブラウザーが立ち上がっている)状態だったのを目撃してびっくりしたという話を紹介。染谷氏は結局、カード払いはやめて現金で代金を支払ったというが、これが半分ネタだとしても、もはや笑い話では済まされない時代になっている。

トレンドマイクロ株式会社上級セキュリティエバンジェリストの染谷征良氏

 POSウイルスについて、後日あらためてトレンドマイクロに話を聞いた。同社シニアスペシャリストの岡本勝之氏によると、POSシステムはクレジットカード情報を扱うシステムであることから、基本的にはPCIDSS(Paytment Card Industry Security Standard:クレジットカード処理にかかわる企業に対するセキュリティ基準)に沿ったセキュリティレベルの高いネットワークが組まれているというが、“誤解”もあって、ウイルスなどに対するセキュリティ対策が遅れている面もあるという。

 その誤解とは、「POS端末のOSは組み込み型Windowsなど特殊なOSであるため、一般のPCに感染するようなウイルスには感染しないのではないか」「POSシステムは基本的に専用のクローズドなネットワークであるため、外部からの侵入はあり得ないのではないか」というものだ。

トレンドマイクロ株式会社シニアスペシャリストの岡本勝之氏

 岡本氏によると、POS端末のOSとしては、Windows Embedded POSReadyが中心。また、Embedded版はサポート期間が通常版と異なり、Windows XPがすでに2014年4月でサポート期間が終了したのに対し、Windows XP Embeddedは2017年1月まで。このほかにもWindows 2000など、古いOSが多く残っているという。

 POSシステム向けに最適化されたOSとはいえ、Windowsであることに変わりはなく、一般のPCと同様にウイルスを作成可能だという。逆にPOSシステム自体、ある程度種類を限定できるため、攻撃者にとっては既存のPOSウイルスのカスタマイズで攻撃可能。さらにPOS端末ではOSのアップデートがされにくいために脆弱性が放置されていたり、ウイルス対策がほとんど普及していないなど、今後、さらに攻撃されやすくなる危険性があるとしている。

 一方、ネットワークについては、通常は各店舗のPOS端末および店舗サーバー、本部の管理サーバーやデータ格納サーバーなどがVPNなどクローズドな専用ネットワークで結ばれており、(前述のように端末が直接インターネット接続されているのは論外として)POS端末に直接ウイルスが感染するわけではないという。まずは標的型メールや水飲み場型攻撃などで、企業本部の従業員の端末に遠隔操作が行えるリモートアクセスツール(RAT)を送り込み、そこを足がかりにして社内の業務ネットワークに侵入。そこから中間サーバーを経由するなどして、POSシステム管理サーバーやデータ格納サーバーに到達する流れだ。

 ここまで入り込むことができれば、サーバーに格納されている情報やネットワーク上を流れる情報を傍受・窃取することが可能になるわけだが、これらはすべて暗号化されており、盗んだとしても攻撃者は利用できない可能性が高い。

 そこで目を付けたのがネットワークの末端部分、各店舗にあるPOS端末だ。カード情報やパスワードなど、通信経路上では暗号化されているような機密情報でも、POS端末内では必ず平文で扱われるタイミングがあるというのだ。

 具体的には、POS端末で顧客のカードをスワイプした後、カードの磁気情報がメモリ上に平文で展開される。POSウイルスの活動は、このタイミングで端末のメモリ上でデータを捕捉する「RAMスクレーパー」という手法が基本。正規表現を用いてカード関連データのみを抜き出すものもあるとしている。

 こうしたPOSウイルスは、本部のPOS管理サーバーが備えている更新プログラムの配信システムを悪用して、各店舗のPOS端末に配信されるという。また、RAMスクレーパーで窃取したカード情報は、いったん本部のサーバーに送信され、情報が一定量蓄積された時点で、業務ネットワークやRATを仕込んだPCなどを通じて外部の攻撃者のもとに送られる。

 すなわち、クローズドなネットワークであっても、どこかにPOSシステムに通じる経路があるというわけだ。このほか、システムを構築したベンダー企業のネットワークや端末にまず感染し、後日、メンテナンスなどでベンダーの感染端末が標的のシステムに接続されたタイミングで入り込んだ事例もあるという。

 さらにやっかいなことに、誤解もあって対策が遅れているPOSシステムでは、攻撃されていても気付かず、情報の大量流出につながる点も特徴だという。

 米国での事例になるが、例えば小売チェーン大手の米Targetでは、2013年11月27日から12月15日までの間に、クレジットカード情報やデビットカード情報約4000万件が流出した。また、高級デパートの米Neiman Marcusでは、2013年7月から10月までの間に110万件のカード取引情報を盗まれたが、2014年1月までその事実に気付かなかったという。このほか、クラフトショップチェーンの米Micaelsでは、約8カ月にわたって、同社および子会社から計300万件のカード情報が流出したとしている。

 日本で検出された6件は、本部ネットワーク内への侵入が検出されたものだとしており、POS端末への感染や、実際の情報流出被害にまで発展した事例はまだ国内では確認されていないのではないかとしている。

 しかし、日本の企業もPOSウイルスのターゲットになってきているのは間違いないとし、POSシステムを運用する企業においては、標的型メールへの対応を含む従業員および従業員端末のセキュリティ対策、社内ネットワークやサーバーの監視・保護など、一般的な標的型攻撃への対策の徹底が必要と指摘。また、POS端末については、OSが古いといって一気にリプレースすることは現実には不可能であることから、まずはクローズド/スタンドアローン環境向けのウイルス対策ソフトやホワイトリスト型セキュリティ対策ソフトを導入すべきだとしている。

 一方、消費者に対しては、身に覚えのない取引がないか、カードの利用履歴をこまめにチェックするといった基本的な対策を挙げている。

(永沢 茂)