PoS (販売時点情報管理) の RAM から情報を盗み出す (スクラッパー) マルウェアとその仕組みについて

7月 18, 2013 Sophos Press Release

※この記事は本社サイト 「Naked Security」掲載の記事を翻訳したものです※
by Numaan Huq on July 16, 2013

PoS machine. Image courtesy of ShutterstockPoS (販売時点情報管理) の RAM を攻撃する特殊なマルウェアが、最近ニュースになっています。

最近になって新しく登場したように思われるかもしれませんが、ソフォスがこのマルウェアを最初に検出したのは、2009 年 12 月であり、Naked Security に関連する記事を掲載しています。
(Will RAM scraping loosen the sky and make it fall?)

今回は、このマルウェアについて詳しく説明します。

実際、このマルウェアによる被害状況はそれほど大きくはありませんが、このマルウェアは、複雑化しておりその影響も広範囲になっています。この記事では、その技術的な詳細と、PoS RAM スクラッパーがどのように進化しているのか説明します。

PoS RAM スクラッパーとは?

簡単に言えば、PoS RAM スクラッパーは、PoS システムの RAM からクレジットカードのトラック 1 およびトラック 2 データなどの支払データを盗み出します。

クレジットカード業界では、PCI-DSS というデータセキュリティ基準を設けています。これらの基準では、重要な支払データを、送信、受信、または保存するときに、完全に暗号化することを求めています。

この支払データは、PoS の RAM で復号化されて処理されますが、この RAM がスクラッパーの標的となります。正規表現検索を使用して、テキスト形式の支払データを見つけて、不正なサーバーにこの情報を送信します。

PoS RAM スクラッパーによる影響と注意が必要な理由

このマルウェアは、流行している他のマルウェアと比較して、効率的に情報を入手できる可能性が高いと思われます。

クレジットカードの普及率が高まる中で、現金で支払をする人はますます少なくなっています。一部を除き、ほとんどのショップで、デビットカードやクレジットカードを利用できます。クレジットカードは、利便性が良く、本来は安全でもあります。また、小銭でポケットがいっぱいになることもありません。

PoS RAM スクラッパーは、デビットカードやクレジットカードのトランザクションを処理するシステムを標的としており、重要な支払情報を盗み出します。自宅のコンピュータのセキュリティを万全にしているかもしれませんが、近所のスーパーの PoS システムが同じレベルのセキュリティで保護されているかどうかは誰にも分かりません。キャンディーを買ったときにクレジットカードのデータを盗まれてしまう恐れもあるのです。

PoS RAM スクラッパーの進化

ソフォスでは、PoS RAM スクラッパーマルウェアを、ファミリ名 Trackr を付けて検出しています (例、Troj/Trackr-GenTroj/Trackr-A)。その他のアンチウイルスベンダーは、さまざまな名前でこのマルウェアを検出していますが、最も一般的な名前は、Alina です。

Trackr の初期の亜種のいくつかは、次のように動作する単純なマルウェアでした。

  1. サービスとしてインストールする
  2. 正規のサービスを装った名前を使用する
  3. RAM にあるクレジットカードのトラック 1 とトラック 2 のデータをスキャンする
  4. スキャンの結果をテキストファイルにダンプする。このテキスト ファイルは、リモートからまたは手動でアクセスされていたと思われます。

数年が経過した今、Trackr にはボットやネットワーク機能が追加され、高度化しています。

Trustwave SpiderLabs の友人が、Trackr ファミリの詳細な動作について解説した優れた記事を記述しています (Alina: Casting a Shadow on PoSAlina: Following The Shadow)。

これまでに、次のタイプの Trackr が確認されています。

  • 基本的なバージョン (パッケージングされておらず、RAM からクレジットカード情報を盗み出します)
  • 複雑なバージョン (ソーシャルエンジニアリングのためのファイル名、ボット、およびネットワーク機能が追加されています)
  • DLL をインストールするバージョン (DLL がサービスとして登録され、RAM から情報を盗み出します)
  • 市販のパッカーを利用してパックされているバージョン
  • 独自のパッカーを利用してパックされているバージョン

最近、SophosLabs は、PoS システムを標的とする Citadel クライムウェアが広く拡散していることを確認しています。

Citadel マルウェアは、Trackr で使用されている RAM から情報を盗み出す手法の代わりに、画面キャプチャーとキーロギングの手法を利用しています。Citadel が PoS システムを標的にしていることは、これが急速に大きな問題になっていることを示唆しています。

PoS RAM スクラッパーの攻撃先

2011 年 11 月に見られた初期の PoS RAM スクラッパーによる攻撃では、大学といくつかのホテルの PoS システムが乗っ取られています。その後、攻撃対象は多様化しており、オーストラリアにある自動車ディーラーも Trackrに感染しました。

この脅威の状況を詳細に把握するために、過去 6 カ月間で Trackr の標的となった各業界に関する統計情報を収集しました。この統計情報は、Sophos Live Protection を使用して取得されています。

Trackr infections by industry

最大の標的となっている業界が判別できましたが、特に驚くべき結果ではありませんでした。

  • Retail (小売業)
  • Service (サービス)
  • Healthcare (医療)
  • Food services (飲食サービス)
  • Education (教育)
  • Hotel and tourism (ホテルおよび旅行業)

これらの業界では、デビットカードやクレジットカードのトランザクション量が多く、攻撃者にとって魅力的な支払データも多く存在していることになります。

たとえば、ファストフード店にある PoS システム 1 台を乗っ取ると、1 週間に数千のクレジットカード情報を入手できる可能性があります。クレジットカード情報があることを期待しながら、1 万台の PC を感染させるよりも、1 台の PoS システムから 1 万のクレジットカード情報の詳細を収集するほうが簡単で安価な方法となります。

PoS システムは、適切に保護しないと格好の標的になり、1 台が乗っ取られるだけで、数千のユーザーが影響を受ける恐れがあります。

標的になっている業界の統計のほかに、同じ期間で Trackr の感染が多く見られた国についてもまとめました。

Trackr infections by country

ここでも、1 位の米国を始め先進国がチャートの上位を占めていますが、これはクレジットカードの普及率を考えると驚きはありません。

実際、Trackr の感染数は、Visa が公開している 国別のクレジットカードの利用率データと、密接に関係していることが分かります。

Trackr による PoS システムへの感染方法

PoS という一般的な用語をこの記事では使用していますが、PoS とは、小売のトランザクションが完了する場所です。つまり、PoS は、独自のハードウェアやソフトウェアソリューション、PoS ソフトウェアを稼働している通常の PC、または、クレジットカードのトランザクションサーバーとなっている場合があります。

大手の小売業者やチェーン店などは、セキュリティが強化された PoS システムを導入しており、このような大手企業の PoS が、Trackr によって乗っ取られたという事案はこれまで確認されていません。

一般的にセキュリティ対策への投資をあまり行っていない、中堅・中小企業に被害が集中しています。

ソフォスの分析では、主に 2 つの感染方法が存在しています。

内部者による攻撃

自社の支払処理システムのセットアップに関する情報を把握している誰かが、RAM スクラッパーをインストールしてデータを収集している場合があります。初期の Trackr の検体は、テキスト形式ファイルで盗み出した情報にドロップしていましたが、このファイルは、手動またはリモートからアクセスして取り出されていたと思われます。

このマルウェアにはネットワーク機能はありませんでした。また、さらに上位のドロッパー/インストーラーが利用されていた証拠も見つかっていません。

フィッシング/ソーシャルエンジニアリング

複雑なバージョンの Trackr で共通している感染方法があります。ソーシャルエンジニアリングに使用するためのファイル名として、Taskmgr.exewindowsfirewall.exesms.exejava.exewin-firewall.exe、および adobeflash.exe などがこれまで検出されています。このことから、これらのファイルは、フィッシング攻撃の一部として配信されており、システムを感染させるためにソーシャルエンジニアリングの手法が利用されていると思われます。

しかし、大量のスパムを配信し感染を試みるマルウェア攻撃で、Trackr が見られることはほとんどありません。むしろ特定の業種に狙いを定めた標的型攻撃で利用されています。

クレジットカードでの支払が、安全ではない場合があることに注意してください。

すべてのユーザーが、コンピュータセキュリティのベストプラクティスを実践する必要があります。また、クレジットカードの利用者は、クレジットカードの利用状況の監視サービスを積極的に活用し、クレジットカード情報や ID を盗まれないようにしてください。

あらゆる規模の企業は、重要な PoS インフラストラクチャを保護するための十分な投資を行ってください。キャッシュレジスタから現金を盗まれないように鍵をするのと同じように、PoS システムにも十分な保護が必要です。