Targetは、攻撃者がどのようにネットワークを突破し、7000万人以上の買い物客に属する情報を掃除するのかをまだ熟知していますが、RAMスクレイピングマルウェアが攻撃に使用されたことがわかりました。
「発生したものの全体像はわかりませんが、POSレジスターにマルウェアがインストールされていることを知っています。これほど多くのことを確立しました」と、ターゲットCEOのグレッグ・スタインハフェルはインタビューしましたCNBCが最近の違反について議論しています。 同社は当初、ホリデーシーズン中に小売店で買い物をした4, 000万人の支払いカード情報が危殆化したと述べました。 ターゲットは先週、7000万人の個人情報も盗まれ、2013年中に来店した買い物客は危険にさらされていると述べました。
無名の情報筋は、週末にロイターに、攻撃で使用されたマルウェアはRAMスクレイパーであると語った。 RAMスクレイパーは、ハードドライブに保存された情報やネットワーク経由で送信された情報とは対照的に、メモリに保存された情報を対象とする特定の種類のマルウェアです。 このクラスのマルウェアは新しいものではありませんが、セキュリティの専門家は、この手法を使用した小売業者に対する攻撃の数が最近増加していると述べています。
攻撃メモリ
RAMスクレイパーは、コンピューターのメモリ内を調べて、処理中に機密データを取得します。 現在のペイメントカード業界データセキュリティ標準(PCI-DSS)ルールでは、PoSシステムに保存するとき、およびバックエンドシステムに転送するときは、すべての支払い情報を暗号化する必要があります。 攻撃者は引き続きハードドライブからデータを盗むことができますが、暗号化されている場合は何もできません。ネットワーク上を移動中にデータが暗号化されているという事実は、攻撃者がトラフィックを盗んで何かを盗むことができないことを意味します。
これは、攻撃者がデータを取得するためのわずかな機会(PoSソフトウェアが情報を処理している瞬間)しか存在しないことを意味します。 ソフトウェアは、トランザクション情報を見るためにデータを一時的に解読する必要があり、マルウェアはその瞬間をつかんでメモリから情報をコピーします。
RAMスクレイピングマルウェアの増加は、小売業者が機密データの暗号化を改善しているという事実に関連しています。 「これは軍拡競争です。私たちは障害物を投げ出し、攻撃者はデータを取得するために他の方法を採用し、探します」とZscalerのセキュリティ調査担当副社長Michael Sutton氏は述べています。
ちょうど別のマルウェア
POSターミナルは、カードリーダーやキーパッドなどの周辺機器が接続されているにもかかわらず、本質的にはコンピューターであることを覚えておくことが重要です。 彼らは、オペレーティングシステムを持ち、販売トランザクションを処理するソフトウェアを実行します。 これらはネットワークに接続され、トランザクションデータをバックエンドシステムに転送します。
他のコンピューターと同様に、PoSシステムはマルウェアに感染する可能性があります。 「従来のルールが引き続き適用されます」と、ソフォスのシニアセキュリティアドバイザーであるChester Wisniewski氏は述べています。 従業員がそのコンピューターを使用してマルウェアをホストしているWebサイトにアクセスしたか、誤って電子メールへの悪意のある添付ファイルを開いたため、PoSシステムが感染する可能性があります。 マルウェアは、コンピューター上のパッチが適用されていないソフトウェア、またはコンピューターが感染する多くの方法のいずれかを悪用した可能性があります。
「店員が店頭端末で持つ特権が少ないほど、感染する可能性は低くなります」とWisniewskiは言いました。 支払いを処理するマシンは非常に機密性が高く、Webサーフィンや許可されていないアプリケーションのインストールを許可すべきではない、と彼は言いました。
コンピューターが感染すると、マルウェアはメモリ内の特定の種類のデータ(この場合はクレジットカード番号とデビットカード番号)を検索します。 番号が見つかると、既に収集したすべてのデータのリストを含むテキストファイルに保存します。 ある時点で、マルウェアはファイルを(通常はネットワーク経由で)攻撃者のコンピューターに送信します。
誰でもターゲット
現在、小売業者はメモリ解析マルウェアの標的となっていますが、Wisniewski氏は、支払いカードを扱う組織はすべて脆弱であると述べました。 このタイプのマルウェアは当初、ホスピタリティおよび教育分野で使用されていた、と彼は言いました。 ソフォスはRAMスクレーパーをトラッカートロイの木馬と呼び、他のベンダーはAlina、Dexter、Vskimmerと呼んでいます。
実際、RAMスクレイパーはPoSシステムだけに固有のものではありません。 サットン氏によると、サイバー犯罪者はマルウェアをパッケージ化して、情報が通常暗号化されているあらゆる状況でデータを盗むことができます。
Visaは昨年4月と8月に2つのセキュリティアラートを発行し、メモリ解析PoSマルウェアを使用した攻撃について商人に警告しました。 「2013年1月以降、Visaは小売業者を含むネットワークへの侵入が増加しています」とVisaは8月に述べています。
マルウェアがターゲットのネットワークにどのように侵入したかは明確ではありませんが、何かが失敗したことは明らかです。 マルウェアは1つのPoSシステムだけでなく、全国の多くのコンピューターにインストールされており、「誰も気づいていない」とサットンは言いました。 そして、マルウェアがアンチウイルスにとってそれを検出するにはあまりに新しいものであったとしても、ネットワークからデータを転送しているという事実は、危険信号を上げるはずでした、と彼は付け加えました。
個人の買い物客にとって、クレジットカードを使用しないことは実際には選択肢ではありません。 このため、ステートメントを定期的に監視し、アカウントのすべてのトランザクションを追跡することが重要です。 「小売業者にデータを信頼する必要がありますが、警戒することもできます」とサットン氏は言います。
