Tag Archives: Point of Sale

サイバー犯罪者がクレジットカード情報を求める貪欲さには、際限がありません。オンラインで情報を盗み出す手口はいくつもありますが、なかでも狙いやすい標的が POS システムです。小売店の店頭レジ端末（POS）システムにおける購買額の 60% が、クレジットカードまたはデビットカードを使って支払われているという統計もあります。大規模な小売店では POS システムを使って毎日何千件という取引が処理されていることを考えれば、大量のクレジットカードデータを入手しようとしているサイバー犯罪者が POS 端末を集中的に狙うのも当然でしょう。POS システムに対する攻撃の手口と、その攻撃から保護する方法については、「Attacks on Point of Sales Systems（POS システムに対する攻撃）」と題したホワイトペーパー（英語）を参照してください。

今でも、クレジットカードやデビットカードのデータを各種の形式で公然と販売しているインターネットフォーラムが多数存在します。特に知られているのが「CVV2」というフォーラムで、ここではクレジットカード番号とともに、通常はカードの裏面に記載されている CVV2 セキュリティコードも売られています。カード番号と CVV2 コードだけでもオンラインショッピングは可能になりますが、一部のフォーラムではさらに儲けにつながる「Track 2」というデータまで売られています。Track 2 は、カードの磁気テープに記録されているデータの簡略形式で、このデータがあれば犯罪者はカードを複製してさらに利益につなげることができます。実店舗でもカードを使えるようになり、暗証番号まで手に入れれば ATM も利用できるからです。データの価値はオンラインフォーラムでの販売価格に反映されますが、その価格はデータの種類によって大きく異なります。CVV2 データの販売額はカード 1 枚あたり 0.1 ～ 5 ドル程度ですか、Track 2 データとなるとカード 1 枚あたり 100 ドルにも相当する場合さえあります。

図. インターネット上のフォーラムで売られているクレジットカードデータ

では、犯罪者はどうやってクレジットカードのデータを手に入れるのでしょうか。よく知られているのはスキミングという手口で、POS 端末に別の装置を取り付け、そこで使われたカードから Track 2 データを読み取ります。ただし、この手口では POS に物理的に接触しなければならず、取り付ける装置の費用も掛かるため、大々的に実行するのは容易ではありません。この問題に対処するために犯罪者が注目しているのが、POS マルウェアというソフトウェアによる解決策です。POS マルウェアで大規模小売店を狙えば、1 回の攻撃で何百万枚ものカードのデータを集めるすることができます。

POS マルウェアは、カードデータの処理過程におけるセキュリティのギャップを悪用します。カードデータは、決済承認のために送信される段階では暗号化されますが、実際に支払いが処理される段階、つまり代金を支払うために POS でカードを読み取らせる瞬間には暗号化されていません。犯罪者がこのセキュリティのギャップを初めて悪用したのは 2005 年のことで、アルバート・ゴンザレス（Albert Gonzalez）が仕組んだ攻撃活動によって 1 億 7,000 万枚ものカードデータが盗難に遭いました。

それ以来、マルウェアが供給販売される市場も成長し、POS 端末のメモリから Track 2 データが読み取られるまでになっています。ほとんどの POS システムは Windows ベースであり、そこで稼働するマルウェアを作成するのは比較的簡単です。このマルウェアは、メモリの中から Track 2 データのパターンに一致するデータを検出することから、メモリ読み取りマルウェアと呼ばれます。該当するデータがメモリで見つかると（カードを読み取るとすぐに出現する）、データは POS 上のファイルに保存され、攻撃者はこのファイルを後から手に入れます。POS マルウェアのなかでも特に有名なのが BlackPOS で、これはサイバー犯罪フォーラムで売られています。シマンテックは、このマルウェアを Infostealer.Reedum.B として検出します。

POS マルウェアを手に入れた攻撃者が次に実行するのは、マルウェアを POS 端末に仕掛けることです。POS 端末は通常はインターネットに接続されていませんが、企業ネットワークには何らかの形で接続されています。そこで、攻撃者はまず企業ネットワークへの侵入を試みます。これには、外部向けのシステムにおける脆弱性を悪用すればよいので、たとえば Web ブラウザで SQL インジェクションを利用するか、メーカー設定のデフォルトパスワードをそのまま使っている周辺機器を探します。ネットワークにいったん侵入したら、さまざまなハッキングツールを使って、POS システムをホストしているネットワークセグメントにアクセスします。POS マルウェアをインストールすると、攻撃者は攻撃活動が気付かれないように対策を講じます。これにはログファイルの消去や、セキュリティソフトウェアの改変などの方法がありますが、いずれの場合も、攻撃が存続し、できるだけ多くのデータを収集することができるように細工を行います。

残念ながら、この手口によるカードデータの盗難は当面続くものと予想されます。盗まれたカードデータは、使える期間が限られます。クレジットカード会社は異常な消費パターンを迅速に見つけるのに加え、用心深いカード所有者もそれは同様です。つまり、犯罪者は「新鮮な」カード番号を常に手に入れる必要があるということです。

幸いなことに、小売業界は最近の同様の攻撃から教訓を学んでおり、同じ攻撃の再発を防ぐ手段を講じています。決済のテクノロジも変わるでしょう。米国では、小売店の多くが EMV あるいは「チップアンドピン」方式の決済テクノロジへの移行を進めています。「チップアンドピン」方式のカードは、複製がはるかに難しいため、攻撃者にとっては魅力が乏しくなっています。もちろん、さらに別の新しい決済方法が登場する可能性もあります。モバイルすなわち NFC による支払いがもっと一般的になれば、スマートフォンが新しいクレジットカードになるかもしれません。

サイバー犯罪者がこうした変化に対応することは明らかですが、小売業界が新しいテクノロジを導入し、セキュリティ企業による攻撃者の監視も続くことから、大規模な POS 窃盗はますます困難になり、犯罪者にとってうまみが少なくなることは間違いないでしょう。

POS システムに対する攻撃の手口と、その攻撃から保護する方法については、シマンテックのホワイトペーパー「Attacks on Point of Sales Systems（POS システムに対する攻撃）」（英語）を参照してください。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Cybercriminals have an insatiable thirst for credit card data. There are multiple ways to steal this information on-line, but Point of Sales are the most tempting target. An estimated 60% of purchases at retailers’ Point of Sale (POS) are paid for using a credit or debit card. Given that large retailers may process thousands of transactions daily though their POS, it stands to reason that POS terminals have come into the crosshairs of cybercriminals seeking large volumes of credit card data.

There are numerous internet forums openly selling credit and debit card data in various formats. The most common is “CVV2” where the seller provides the credit card number, along with the additional CVV2 security code which is typically on the back of the card. This data is enough to facilitate online purchases. However some sellers also offer the more lucrative “Track 2” data. This is shorthand for the data saved on a card’s magnetic strip. This data is more lucrative as it allows criminals to clone cards, meaning they can be used in brick-and-mortar stores or even ATMs if the PIN is available. The value of the data is reflected in the online sale price and these prices vary widely. CVV2 data is sold for as little as $0.1 to $5 per card while Track 2 data may cost up to $100 per card.

Figure. Credit card data for sale on Internet forums

So how do criminals get this data? Skimming is one of the more popular methods. This involves installing additional hardware onto the POS terminal which is then used to read track 2 data from cards. However as it requires physical access to the POS, and expensive additional equipment, it’s difficult for criminals to carry this out on a large scale. To address this problem criminals have turned to software solutions in the form of POS malware. By targeting major retailers with this malware criminals can accrue data for millions of cards in a single campaign.

POS malware exploits a gap in the security of how card data is handled. While card data is encrypted as it’s sent for payment authorization, it’s not encrypted while the payment is actually being processed, i.e. the moment when you swipe the card at the POS to pay for your goods. Criminals first exploited this security gap in 2005 when a campaign orchestrated by Albert Gonzalez lead to the theft of data for 170 million cards.

Since then a market has grown in the supply and sale of malware, which reads Track 2 data from the memory of the POS terminal. Most POS systems are Windows-based, making it relatively easy to create malware to run on them. This malware is known as memory-scraping malware as it looks in memory for data, which matches the pattern of the Track 2 data. Once it finds this data in memory, which occurs as soon as a card is swiped, it saves it in a file on the POS, which the attacker can later retrieve. The most well-known piece of POS malware is BlackPOS which is sold on cybercrime forums. Symantec detects this malware as Infostealer.Reedum.B.

Armed with POS malware, the next challenge for attackers is to get the malware onto the POS terminals. POS terminals are not typically connected to the Internet but will have some connectivity to the corporate network. Attackers will therefore attempt to infiltrate the corporate network first. They may do this by exploiting weaknesses in external facing systems, such as using an SQL injection on a Web server, or finding a periphery device that still uses the default manufacturer password. Once in the network, they will use various hacking tools to gain access to the network segment hosting the POS systems. After the POS malware is installed, attackers will take steps to make sure their activity goes unnoticed. These steps could include scrubbing log files or tampering with security software, which all ensures that the attack can persist and gather as much data as possible. For an in-depth look at how these attacks work see our whitepaper: Attacks on Point of Sales Systems

Unfortunately, card data theft of this nature is likely to continue in the near term. Stolen card data has a limited shelf-life. Credit card companies are quick to spot anomalous spending patterns, as are observant card owners. This means that criminals need a steady supply of “fresh” card numbers.

The good news is that retailers will learn lessons from these recent attacks and take steps to prevent the re-occurrence of this type of attack. Payment technology will also change. Many US retailers are now expediting the transition to EMV, or “chip and pin” payment technologies. Chip and Pin cards are much more difficult to clone, making them less attractive to attackers. And of course new payment models may take over. Smart-phones may become the new credit cards as mobile, or NFC, payment technology becomes more widely adopted.

There’s no doubt that cybercriminals will respond to these changes. But as retailers adopt newer technologies and security companies continue to monitor the attackers, large-scale POS thefts will become more difficult and certainly less profitable.

For more details on how POS attacks are carried out and how to protect against them, see our whitepaper: Attacks on Point of Sales Systems