あなたのクレジットカードのデータはすでに盗まれているかもしれない。
スマートデバイスやソーシャルネットワーク、クラウドサービスなどの隆盛に伴い、私たちの生活はネットワークへの依存度を飛躍的に高めている。身の回りのあらゆる機器がネットワークに接続し、大量のデータが流通する一方で、それらを標的にしたサイバー犯罪もまた、増加の一途を辿っているのだ。
狙われるのは国家や企業だけではない。クラッカーが金銭目的で個人の情報を盗み出すケースが増えた。攻撃ツールの進化と普及により、それほど技術力を持たないクラッカーが遊び半分でサイバー犯罪に手を染めることができる。一方でネットワーク社会では、セキュリティー対策にリソースを割けない小売店などに無防備な機器が増えており、そういった端末を狙う傾向は日増しに強くなっている。自分の個人情報が自分のPCから洩れるとは限らないのだ。
では、実際にどのような手口で情報が盗まれるのだろうか。この記事ではとあるクラッカーが個人情報を狙うモデルケースを、事実を参考にしたフィクションとして紹介する。
クレジットカード犯罪、今後はPOSへのハッキングが隆盛?
クレジットカードやプリペイドカードは20世紀に普及して以来、常に犯罪者のターゲットになってきた。少し前まで流行していたのは、ATMなどのカード差込口に読取装置を仕掛ける「スキミング」。それをさらに一歩進め、物理的なカードへの接触なしにデータを盗み取る方法として事例が急増しつつあるのが、POS端末やATMにマルウェアを仕掛ける手口だ。POS端末とは、店頭でよく見かけるレジのこと。
カードの磁気ストライプ情報は、POS端末に読み取られた直後は無暗号化状態でメモリー上へ保存されている。これをマルウェア側でコピーし、集約して一気に抜き取るのである。「Dixterトロイの木馬」「vSkimmer」「BlackPOS」などのマルウェアが知られ、なかには自動的にアップデートしていくものや、感染した各マシンの状況を一覧で見られる管理コンソールに対応するものまである。
昨年はディスカウントストア大手の米ターゲット社が4000万人分のクレジットカード・デビットカード情報を盗み取られている。すでに日本でも事例は確認されており、今後一層の警戒が必要だ。
狙われたPOS端末~トホホサイバー犯罪者の、悲劇的な結末
ある男は、興味本位でクラッキングを始めた。
彼は昼過ぎに自宅のベッドから出て、1台のデスクトップPCに向かった。ブラウザーを立ち上げ、慣れた手つきで馴染みのハッカーフォーラムにアクセスし、掲示板に書き込みをする。ここ数ヵ月、フォーラムの巡回は彼の日課になっていた。
彼の名前はTanaka Ichiro(仮)。「スーパークラッカー」を自称し、フォーラム上では大きな顔をしているが、実際のところはたいした技術も実績もない。
彼の攻撃のターゲットは国家でも大企業でもない。コンビニや飲食店の会計処理に使用されるPOS端末だ。既存の攻撃ツールを利用し、POSとして使われているPCをクラックする。そこからクレジットカード情報を抜き出し、カネに替える――この単純な作業で、すでに彼はいくらかの攻撃を成功させ、稼ぎを上げていた。
カード情報は専用の地下市場で売買されている。値段はカード番号とセキュリティコードだけなら1枚1ドル以下が相場だが、カードの複製が可能になる磁気テープ上のTrack2データになれば1枚100ドル前後で売り払える場合もあるという。一度に数千枚~数万枚のデータを取引するものもいるというのだから、これほどボロい商売もない。
Tanakaは個人情報をクラックして小銭を稼ぐコソ泥にすぎないが、実際に彼が狙いをつけているのは比較的小規模の小売店だ。こうした店舗でもネットワークにつながったPOSは導入されているが、その維持のために十分なリソースをかけられるケースは少ないし、専任の管理者を置かず、放置ぎみの運用になっていることさえある。だから、マルウェアに頼った攻撃は意外なほど簡単だった。足が付かないよう、ログの消去などいくつかの工作は加えたが、今のところシステムの管理者は気付いてすらいないようだ。彼はクラッキングを終えたあと、自分が情報を抜き出した店を実際に訪れる。そして、クレジットカードで会計を済ませている客を眺めては、ひそかにほくそ笑むのだった。
POS端末の76%はWindows上で動いている!
店舗のレジでどこでも当たり前のように使われているPOS端末。実際はその76%がWindowsベースで動いており、実際、ウェブブラウジングやメールまで可能なPOSシステムも存在する。つまり、PCと同じような危機にさらされる可能性が十分にあるということだ。端末は詳しい管理者や専門のSIerが絡んでいない中小規模の店舗にも設置されている上、Windows Embeddedのような組み込みOSではないごく普通のPC用OSが使われている場合もある。基本的に仕組みは同様で画一化されているため狙いやすいという側面もあるようだ。
抜き出されるデータはクレジットカードの他、電子マネー、デビットカードなど様々。対策の不十分な店舗でカードを使ってしまった場合、カード保有者に情報流出を防ぐ手立てはない。
リスクは比較的低くリターンが大きい、クラッカーにとっては絶好の獲物だと言えるだろう。
