大規模小売店のPOSシステムでは、毎日何千件というクレジット取引が行われており、大量のクレジットカードデータ入手を目論むサイバー犯罪者にとって格好の攻撃対象となっている。サイバー犯罪者がクレジットカード情報を執拗に求めるのは、入手したクレジットカード情報が容易に売買できることが背景にあるためだ。2013年末、米小売大手のT社から、全米の店舗で使われたクレジットカードやデビットカード情報4000万件と、氏名、住所、電話番号、メールアドレスが含まれる7000万人の個人情報が流出する事件が発生した。これら情報を流出させたマルウエアは、検知されないまま決済システムに数カ月間潜伏しカード情報を窃取していた。
POSシステムは、具体的にどのような脅威にさらされているのか。まずPOSマルウエアの侵入経路と攻撃手順を見ていこう(図4)。
(1)企業内への侵入
攻撃者は、POSシステムを利用している企業の従業員や関係者に対して標的型攻撃を仕掛けたり、サーバーの脆弱性などを悪用したりして、社内ネットワークに侵入する。
(2)POSネットワークの探索
侵入に成功した攻撃者は、次に店舗内のPOSネットワークへの侵入経路を探し出す。