情報セキュリティに携わっている人は、買い物に行く度に仕事のことを考えずにはいられません。クレジットカードを機械に通したり挿入する度に、必ずその取引がどう行われるのか、どう保護されているのか、どのような危険があるのか考えてしまいます。軽い被害妄想に陥ります。
この新しいタイプの被害妄想は、最近発生したクレジットカード被害に基づいており、根拠は十分にあります。実際に発生したPOSレジでの被害について興味があれば、OpenDNSにおいてタイムラインで情報を公開していますのでご確認ください。
しかし、この問題はクレジットカード被害だけではないことに注意も必要です。カードデータを盗む被害には、POSレジでマルウェアが利用されており、それが多発しています。Trend Micro社によると、POSレジ マルウェアの検知数は、66%増加しているそうです。
この手の被害を受けやすい企業で真っ先に注意すべきは小売店ですが、一般的にPOSレジを使用している企業ならば危険があることを理解する必要があります。最近では、ハイアットやスターウッド、ヒルトンなどの大手ホテルで大量の情報漏えいが確認されています。
さらに、マルウェア自体がより効率的かつ検知されにくい形で進化していることも確認されています。前述した例は、公開(検知)されている事例ですからPOSレジのマルウェアという点では氷山の一角に過ぎないと考えた方がいいでしょう。
EMV(別名「チップ・アンド・ピン」(ICカード化と暗証番号)、「チップ・アンド・サイン」(ICカード化と署名))にすれば大丈夫と思うかもしれませんが、それだけでは不十分である明確な証拠があります。もちろん、EMVシステムによって目的通りにカード詐欺の防止には繋がりますが、展開時の人為的ミスやPOSレジコードのミスは防げません。事実、EMVを取り入れていても、世界中でクレジットカードのデータは盗まれているのです。
よく攻撃について述べられていますが、そうしたデータの大部分は、「検知されたデータ漏えい」あるいは「検知されたマルウェア」と呼ぶのが適切でしょう。マルウェアが既に存在しているという事実を踏まえると、そもそも成功した攻撃では検知されていないことは明らかなのです。
「希望のない話」はお断り
私自身、何も対策を提案せずに脅威について話すのは好きではありません。世の中に確実な解決策がないことは誰もが承知していますし、私がこれまでに調査したことのある脅威については、必ずそれなりに対策可能でした。
POSレジを狙ったマルウェアについては、2通りの対策と検知方法に注目する必要があります。従来のマルウェア対策製品で既知の悪性コードのインスタンスを検知することはできますが、未知のマルウェアは検知できません。結果、マルウェア対策ベンダーと悪意あるハッカーとの『いたちごっこ』のようになっているのです。
検知
コードを調査することから、POSレジシステムで害を及ぼそうとしている疑わしい挙動の変化を検知するように検知方法を変えることで、検出範囲を広げ、より高度な脅威を見つけられるようになります。
例えば、POSレジシステムのネットワーク設定が仕様から外れるほど変化するはずはありません。このような変化を、可能であればリアルタイムで検知することで、こっそりデータを盗もうとしているマルウェアを検出できます。この論理は、システム上のユーザなどの変化に適用もされます。
このような挙動(マルウェアではなく)を列記し、それに当てはまる変化がないか監視することで、悪性のコードではなく悪性の挙動を検知することができます。
対策
新手の興味深いマルウェアの技術部分に多くの注目が寄せられますが、大抵の場合、感染経路は十分解明されているため、対策は可能なのです。
既知の公開されている脆弱性、フィッシング詐欺や第三者アクセスによる窃盗について、こうした脆弱性に対応するための操作や方法は、SANS/CIS Critical Security Controls(重要なセキュリティ管理:CSC)に詳しく記載されています。POSレジ対応にCSCの最初の4つを一貫して実装することで、多くのマルウェア感染を防止できます。
CSCに抜けているのは、フィッシングの場合についてですが、それでも上記の点で役にも立っています。一部のフィッシングで実際にユーザは悪性コードを直接インストールしてしまう可能性はありますが、大抵はその経路のどこかに脆弱性とセキュリティ上の弱点があるものです。
もちろん、設定の保護という観点から、インフラに他のマルウェア対策管理が導入されるべき箇所を判断することができます。
Tripwireが流れを変える
上述したように、対策方法がない「希望のない話」は嫌いですし、対策がいつも導かれる訳ではありません。でもそれでは不公平です。
POSレジを狙うマルウェアの状況や、小売り部門にTripwire製品を利用する数多くのお客様がいることを踏まえ、TripwireはTripwire Enterprise を利用した「Point-of-Sale Threat Protection」ソリューションを提供しています。
このコンテンツは既にリリース済みでダウンロードいただけます。POSレジ不正アクセスに関わる疑わしい挙動を見つけるためのルールとポリシーが含まれています。 詳細はこちらからご覧ください。動画もご覧いただけます(こちら)。また、新機能に伴い、最適なPOSレジ保護方法について記載したホワイトペーパーも公開しました。
451 Groupのアナリストにプランや内容を共有し、彼らからの意見を集めました。その内容は、こちらの報告書に公開されています。
まとめ
基準となるベースラインを作成し、『変化』を検知するための設定にあたっては、簡単に展開できる機能がたくさんあります。Tripwire Enterpriseプラットフォームには、機能を拡張して革新的なセキュリティ対策を可能にするオプションが多数用意されています。本日は、その一例をご紹介させていただきました。
Title image courtesy of ShutterStock
元の記事はこちらからご覧いただけます。