米国を拠点とする大手美術工芸品店チェーン、マイケルズは土曜日、店舗で使用された決済カードで不審な動きが検出されたため、データ漏洩の可能性を調査中であると発表した。
同社の声明によると、同社は「米国の小売業者のデータシステムに侵入しようとする犯罪行為が広く報じられている」ため、侵害を認めずに公表することを選択したという。
声明によると、CEOのチャック・ルービン氏は「この潜在的な問題について顧客に警告し、不正な請求がないか支払いカードの明細書をスキャンできるようにするのが顧客にとって最善の利益だ」と述べた。
テキサス州アービングに本社を置く同社は、2013年5月時点で米国とカナダに1105店舗以上を展開しており、連邦法執行機関に連絡を取り、第三者のデータセキュリティコンサルタントを雇用したと発表した。同社はまた、米国11州で123店舗を展開するアーロン・ブラザーズも所有している。
他の小売業者も打撃を受ける
マイケルズがデータ侵害を認めれば、全米の商店を震撼させている一連のデータ攻撃の最新の被害者となる。高級小売店ニーマン・マーカスと百貨店ターゲットは今月初め、データ侵害を発表した。
これら 2 つの侵害は、攻撃者がネットワーク上に支払いカードの詳細情報を収集する悪意のあるソフトウェアをインストールした後に発生しました。
ターゲット社は、2013年11月27日から12月15日の間に、最大4,000万枚の支払いカードと最大7,000万件のその他の個人記録が不正アクセスされたと発表した。最高経営責任者(CEO)のグレッグ・スタインハーフェル氏は、カードをスワイプするPOS端末にマルウェアがインストールされたと述べた。
ニーマン・マーカスは、同社が昨年12月に不正行為に気付く前の2013年7月から10月の間に、マルウェアがシステムから決済カード情報を「スクレイピング」したと述べた。
セキュリティ専門家は、少なくとも2013年3月以降、地下フォーラムでPOSマルウェアが販売されているのを確認している。Targetマルウェアは、「Kaptoxa」(ロシア語で「ジャガイモ」を意味する)と呼ばれるマルウェアの派生であると考えられている。
「BlackPOS」とも呼ばれるこのマルウェアは、カードがスワイプされた直後に暗号化されていないカードを盗み出し、POS端末のメモリに蓄積します。このタイプのマルウェアは「RAMスクレーパー」とも呼ばれています。
先週、ロシア在住の23歳の男性が、マルウェア「Kaptoxa」のコードを提供したと発表しました。ロシアのサラトフ在住のリナト・シャバエフ氏はLifenews.ruに対し、このプログラムは違法目的で使用される可能性はあるものの、本来は防御ツールとして設計されたものだと述べました。
コンピュータセキュリティの専門家は、シャバエフ容疑者が「ree4」というオンラインニックネームを使用し、プログラムのコピーを2000ドルで販売していたか、あるいは利益の一部を受け取っていた可能性があると見ている。シャバエフ容疑者は起訴されていないが、専門家は彼の顧客が攻撃の背後にいる可能性があると見ている。
フォーラムで交換されたヒント
サイバーインテリジェンス企業インテルクローラーの社長ダン・クレメンツ氏は、地下フォーラムではPOSハッキング攻撃が続いていることを示す兆候が多数あると述べた。
英国を拠点としていると思われるハッカーが、米国中西部のイベント会社のシステムにアクセスした様子を映した動画をYouTubeに投稿した。同社はコメント要請に応じていない。
ハッカーの別のビデオでは、Microsoft 接続プロトコル、RDP (リモート デスクトップ プロトコル) を使用して攻撃を実行する方法が示されています。
RDPは、管理者が他のリモートコンピュータにアクセスできるようにするためにMicrosoftによって開発されました。多くのPOS端末はWindowsベースであるため、Visaは昨年8月に加盟店に対し、RDPログオンを無効にするよう警告しました。
IDG News Service が確認した地下フォーラムの投稿から、サイバー犯罪者が RDP が有効になっている POS 端末やその他のシステムへのアクセスを売買していることがわかります。
侵入者は多くの場合、端末のデフォルトのログイン名とパスワードを試し、それがうまくいかない場合は、様々な認証情報の組み合わせを試すブルートフォース攻撃を試みます。脆弱なIPアドレスは、世界中のどこからでも脆弱性を探知される可能性があります。
YouTubeに投稿したハッカーは、2009年から2012年の間にイベント会社の販売注文にアクセスしたことを明かした。さまざまなビデオフレームには、顧客の名前、住所、電子メールアドレス、クレジットカード番号、有効期限が表示されている。
IntelCrawlerの分析によると、RDPハッキングへの関心が高まっていることが明らかになりました。同社のアナリストは、サイバー犯罪者が利用するパスワード保護されたフォーラムからデータを収集し、最新の傾向に関する洞察を提供しています。
ターゲット社がハッカーが決済カード情報の収集を開始したと考えている11月27日、ロシア語フォーラムの投稿には、ハッキングされたRDP POS端末へのアクセスに対して100ドルを提示する買い手が示されていた。
購入者は、決済カードの磁気ストライプの裏面にコード化された情報であるトラック1とトラック2のデータに興味を持っていました。トラック1のデータにはカード番号、名義人、有効期限が含まれ、トラック2のデータにはカード番号と有効期限が含まれます。
