トレンドマイクロは12月9日、POSシステムを狙ったマルウェアが航空・鉄道・自動車業界へと拡大している事例をブログで公開した。
2013年末に米国大手小売業「Target」で起きた情報漏えいは大きな話題となった。この攻撃にはPOSマルウェアの「BlackPOS」が利用されていた。
2014年に入り、POSマルウェアは大手から中小までのさまざまな小売業への攻撃が確認された。また、攻撃対象は小売業に限らず、商業施設、空港、鉄道駅、駐車場まで範囲を拡大しているという。
セキュリティ企業の「Census」は、8月にPOSシステムマルウェアに関するリサーチの結果を発表。これによると、とあるギリシャにある空港内にある店舗端末がPOSマルウェアに感染していたという。端末にはセキュリティ対策製品はインストールされていなかった。
航空会社が発行するバーコード付き搭乗券は、購入した乗客の情報が含まれている。搭乗券の仕様は簡単で、Google検索で確認できるというもの。印刷したチケットやモバイル端末上のQRコードは、スキャンされた搭乗券の情報を店舗のRAMで復号する。
つまり、搭乗券の形式がわかれば、マルウェアに感染させた端末のRAMから情報を収集し、店舗で買い物をした利用者のクレジットカード情報を盗み出せる。Censusが行った実験は、POSマルウェアが簡単に侵入できることを証明した。
ほかにもセキュリティ企業の「IntelCrawler」が11月に「d4re|dev1|(daredevil)」と呼ばれるPOSマルウェアに関するブログ記事を公開。このPOSマルウェアは、「大量輸送システム(Mass Transit System、MTS)」を狙ったもの。このマルウェアは、遠隔からの管理や更新、RAM情報の収集、キー入力操作情報の収集などの機能を備えている。
この例では、イタリアはサルディーニャの公共交通機関「ARST」の乗車券販売機が攻撃されている。攻撃者は、ネットワーク上のPCを遠隔操作する「Virtual Network Computing(VNC)」を利用し、乗車券販売機にアクセス。感染したチケット販売機でバスや列車の乗車券を購入した乗客は、その支払カードの情報を収集するための格好の餌食となった。
9月に確認された POSマルウェアの「NewPosThings」は、侵害したシステムからVNCのパスワードを窃取しようと試みた。「BrutPOS」や「Backoff」のような POSマルウェアは、Microsoft の「リモート・デスクトップ・プロトコル(RDP)」を利用し、侵害したシステムにアクセスする。
一方で11月末、駐車サービスを提供する米国のとある企業は、自社の17の駐車施設にある支払処理システムに不正侵入があったことを自ら明かしている。第三者の業者がこの駐車施設の支払いカードシステムを管理しており、攻撃者はこの業者のリモートアクセスツールを利用して支払処理システムにアクセスした。
攻撃者はその後、駐車施設で集められた支払いカードの情報を窃取する不正プログラムをインストール。リモートアクセスに二段階認証を使用しておらず、攻撃者がシステムに侵入して攻撃するのは比較的容易であった。被害の範囲は全米各地に広がっており、シカゴやクリーブランド、エバンストン、フィラデルフィアなど多岐に渡っている。
