ヒルトンからクレカ情報が流出!流出するのは当たり前の時代?|サイバーセキュリティ.com

ヒルトンからクレカ情報が流出!流出するのは当たり前の時代?



2015年11月、世界でホテルチェーンを展開しているヒルトンホテル、その系列ホテルからクレジットカード情報が流出した可能性があることが、セキュリティ情報サイトの米Krebs on Securityによって伝えられました。ヒルトン側も「残念なことに、現代の市場ではあらゆる企業にとって、クレジットカードに絡む不正はあまりに一般的になった」とコメントしているほどです。

一体どのようにしてクレジットカード情報が流出してしまったのでしょうか?

意外とセキュリティが弱いPOS端末

今回流出の元となったシステムがPOSシステムです。POSシステムとは店舗で商品を販売するごとに販売情報を記録するシステムのこと。つまり、レジのシステムのことです。会社のPCや、サーバにはアンチウイルスソフトを用いるのは当たり前となっていますが、隠れWindowsとも言われているPOS端末、複合機、デジタルサイネージのシステムは汎用OSが使われていることが多いのです。

海外ではこのような組み込み端末が情報漏えいの被害元となっており、アメリカのPOSシステムで大きな被害をもたらしたウイルスと同種のウイルスが日本に登場しました。

狙われるPOSシステム

POSシステムはそもそも決済するためのシステムなので、決済、管理データーベースとの通信以外は全く考えられていません。クレジットカードなどの機密情報は端末内には保存されず、暗号化してサーバ内に送信されるようになっています。このため、基本的には内部的な不正がない限りは情報を取得しようがないハズだったのです。

ところが、アメリカでは同種の事件が続けざまに発生しました。大手ホームセンターHome Depot社からもクレジットカード情報が5600万件流出してしまったというから驚きを隠せません。

侵入経路は外部接続機器、隠れたネットワーク

閉じられたハズのPOSシステムに侵入するウイルスの経路ですが、これは2つ考えられます。

1 外部接続

まず1つは、外部接続する機器です。

従業員がウイルスに感染したUSBメモリを一台の端末に接続し、ウイルスに感染。そしてネットワーク内の端末全てが感染してしまうという結果になります。かなり初歩的な感染と思いがちですが、USBからの感染はいまだに多く、気付かないケースが多いのです。

2 ネットワーク

またもう1つは、外部から見えないネットワークを内側から探って侵入するという手口もあります。

これは、取引先企業のユーザアカウントを何らかの方法で奪い、取引先企業のシステムへと侵入。業務で使っている標的企業と通信経路を用いてシステム侵入を試み、成功した場合、ウイルスを送り込み、リモートコントロールによって社内ネットワーク調査、POSシステムなど閉ざされたネットワークにまで侵入し、情報搾取を行います。

組み込みシステムだからと言って安全とは限らない

POSシステム、チケット発行端末のように特定の目的のために作られたコンピュータだとしても、これからは安全とは言えない世の中になってきました。

組み込み型の端末はスタンドアロン型が多く、外部とのネットワークを遮断し、独立したネットワークでのみ運用されています。そのため、「セキュリティ対策をおろそかにしていても問題ない」というように、全くと言っていいほど考えられてきませんでした。

しかし、社内の他のシステムや、カード情報の送信などオンラインサービス型決済サービスを使用する端末も多くなり、一件閉じられたネットワークのように見えますが、実際は外部と接続しているという端末が増えているのです。そこを攻撃されれば、容易に侵入を許してしまいます。分からないように間接的に攻撃されたり、踏み台にされ、サーバを狙われるというケースも増えています。

これからはPOSシステムにも十分なセキュリティ対策を施すようにしなければならないでしょう。

流出情報悪用の疑いで中国人6名を逮捕(追記)

2016年9月、ヒルトンホテル運営会社から漏洩した顧客情報を基に作られた偽造クレジットカードを使用した疑いで、中国人6名が逮捕されました。

中国人グループは、2016年1月に東京都豊島区のドラッグストア等で化粧品類およそ53万円を購入していました。その他同様の手口による被害額は、現在分かっているだけでも2,300万円に上ると見られています。


SNSでもご購読できます。