2014年06月09日
トレンド解説

クレジットカード情報を狙うPOSマルウエア、その攻撃手法と対策

山内 正=シマンテック テクニカルディレクター
  • このエントリーをはてなブックマークに追加

POSマルウエアの攻撃手順とは

 POSシステムは、具体的にどのような脅威にさらされているのか。まずPOSマルウエアの侵入経路と攻撃手順を見ていこう(図4)。

図4●POSマルウエアの侵入経路と攻撃手順
[画像のクリックで拡大表示]

(1)企業内への侵入
 攻撃者は、POSシステムを利用している企業の従業員や関係者に対して標的型攻撃を仕掛けたり、サーバーの脆弱性などを悪用したりして、社内ネットワークに侵入する。

(2)POSネットワークの探索
 侵入に成功した攻撃者は、次に店舗内のPOSネットワークへの侵入経路を探し出す。

(3)マルウエアのインストール
 攻撃者は、探し出したPOS端末に対しクレジットカード情報を窃取するマルウエア(メモリー読み取りマルウエア)をインストールする。POS端末は通常、POSレジ本体とカードリーダーから構成されるが、メモリー読み取りマルウエアは、WindowsなどのOSが組み込まれているPOSレジ本体にインストールされる。

(4)POS内情報の窃取
 メモリー読み取りマルウエアは、カードリーダーで読み取られたクレジットカード情報が、POSレジ本体で処理されるたびに、POSレジ本体のメモリー上からカードデータを窃取し、独自のファイルにコピーしてPOSレジ本体に保存する。POS マルウエアの中でも特に有名なのが「BlackPOS」(シマンテックは「Infostealer.Reedum,B」として検出)で、他のマルウエアと同様にサイバー犯罪者向けの地下市場で売られている。

(5)窃取データの集約
 攻撃者は、店舗内のPOSネットワーク上のサーバーの一つを、外部へ情報を送り出すための“足場(staging)サーバー”として乗っ取る。そのサーバーに、POSネットワーク上にある感染POS端末に保存しておいた窃取データを集約する。

(6)窃取データの外部への持ち出し
 足場サーバーからサードパーティーが提供する外部クラウド・サーバーへと窃取データを持ち出し、侵入の痕跡を消去する。