2016年7月8日、米国テキサス州ダラスの大手ホテルチェーン「Omni Hotels & Resorts」は、ホテル内施設の「販売時点情報管理(Point of sale 、POS)」システムが不正プログラムの攻撃を受けたとして顧客に注意を促しました。ホテルチェーン側の発表によると、情報漏えいは2016年5月30日に確認されていましたが、顧客への通知は、セキュリティ企業とのインシデント対応後の2016年7月8日となったようです。また発表では「不正プログラムは、カード保持者の氏名、クレジット/デビットカード番号、セキュリティコード、有効期限など特定のクレジットカード情報窃取を目的に設計」されており、連絡先や、社会保障番号、暗証番号などの顧客情報が漏えいした形跡は確認されなかったとのことです。

[参考情報: 「Black Atlas作戦」:世界中の中小企業のカード決済システムに侵入。「BlackPOS」や攻撃ツールを駆使]

しかし報道では、不正プログラムが攻撃した際に5万件に及ぶクレジットカード情報が漏えいしたと伝えられています。ホテルチェーン側の発表では、この不正プログラムは、2015年12月23日から2016年6月14日まで活動しており、それを受けて報道でも、北米支店60軒うち49軒が影響を受けた可能性があるとしています。一方、ホテルチェーン側の発表によると、システムの多くが影響を受けたのは短期間であり、クレジットカードを直接受付で提示していない顧客には影響がないとしています。同発表では、情報漏えいがどのようにして発覚し、サイバー犯罪者がどのように侵入できたのかなどの詳細は言及していませんが、影響を受けた顧客に1年間の個人情報盗難防止サービスを無料提供してセキュリティ強化を図るとも記しています。

[参考情報: Protecting point-of-sale systems from PoS malware(英語情報)]

今回のホテルチェーンへの攻撃は、2016年1月に「Starwood Hotel」、「Hilton hotel」、「Hyatt hotel」などの複数の米国大手ホテルチェーンや、その他の小売業などを標的にしたPOSシステム情報漏えいに続く、同種の事例だといえます。最近のホテルチェーンを狙った情報漏えい事例は、POSマルウェアの増加傾向を浮き彫りにしています。こうした事例は、ホテル施設だけでなく顧客情報にも影響を与えます。つまり、セキュリティの観点から言えば、POSマルウェアのリスクは、企業や顧客にとって支払い時に発生します。支払い時に顧客が提供する情報がその時点で窃取され、サイバー犯罪者のクレジットカード詐欺に悪用される恐れがあるからです。

トレンドマイクロは、2016年6月、「FastPOS」(トレンドマイクロ製品では「TSPY_FASTPOS.SMZTDA」で検出対応)と呼ばれる新しいPOSマルウェアについて報告し、「窃取したカード情報を素早く送信する機能」を弊社のブログ記事で解説しました。他のPOSマルウェアとは異なり、「FastPOS」は、読み取ったカード情報を素早くコマンド&コントロール(C&C)サーバへ送信することに注力しています。このPOSマルウェアは、キーロガーや(RAM内の情報を読み取る)RAMスクレーパーを利用して情報を窃取します。また、RAMスクレーパーで正規のクレジットカード番号を読み取る際、暗証番号を必要としない国際クレジットカードを検索するようにカスタマイズされたアルゴリズム等も駆使します。他のPOSマルウェアと異なり、「FastPoS」は、大企業のネットワークが存在しない環境で活動するようです。そうした環境であれば、ほとんど痕跡を残さずに活動できるように設計されています。

POSマルウェアに感染した疑いのあるユーザは、銀行取引明細を定期的にチェックし、すべての取引に問題がないことを確認し、不審な取引があった場合は直ちに銀行またはカード会社に報告することです。企業では、不正プログラムから自社システムを保護する多層防御のセキュリティ対策製品や、登録済みアプリケーションだけを社内ネットワークで実行可能とするホワイトリストの導入が有効です。こうした総合的対策により、ネットワークの出入口からモバイル端末までを保護し、POSシステム関連の情報漏えいや業務上の混乱を阻止します。こうして企業では、ITインフラストラクチャの各レイヤーでの脅威情報に関するポリシーの集中管理や管理体制の合理化を実現し、一貫したポリシー実施が可能になります。