- 2020/01/21
- サイバー攻撃
POSを標的としたサイバー攻撃へのセキュリティ対策
Post by : ALLIE MELLEN
現在、北米と欧州の金融サービス業、製造業、流通・小売業を標的とした攻撃で、新たなマルウェアが使用されています。10月に発見されたAnchorと呼ばれるマルウェアです。
POSシステムを導入している知名度の高い企業が標的となっており、攻撃者はAnchorとTrickBotを組み合わせて使用し、標的にマルウェア感染させたり、情報を探索したり、脆弱性攻撃を仕掛けたりしています。
攻撃者は標的のネットワーク内にある重要性の高い資産を奪い、機密情報を窃取します。特定の企業を標的にしてバックドアが仕掛けられ、バックドアは長期間にわたり密かにコマンドアンドコントロールサーバー(C&Cサーバー)と通信を行い、パスワードやクレジットカードの情報など、POSシステムに保存されている機密性の高い業務データを盗み出します。
サイバーリーズンの調査では、この攻撃の侵害の痕跡をリスト化し、MITRE(マイター)社のATT&CKに基づき、攻撃のテクニックを分類しました。
これらの情報や、この攻撃の技術的な詳細分析については、「Anchorの投下:TrickBot感染からAnchorマルウェアの検出まで」をご覧ください。
この攻撃の主なポイント
- TrickBotとAnchorによる攻撃活動:サイバーリーズンのNocturnusチームは、北米と欧州の金融サービス業、製造業、流通・小売業を標的とした一連の攻撃を調査しています。
- 標的はPOSシステム:攻撃者はPOSシステムを標的にして、そのネットワーク内にある重要性の高い資産を奪い、機密情報を窃取します。
- 知名度の高い企業に狙い定め、バックドアを仕掛ける:攻撃者は知名度の高い特定の企業に狙い定めており、攻撃には、Anchorと呼ばれる新たなマルウェアを選択しています。このマルウェアはバックドアをインストールするほか、機密性の高いデータを窃取し、相手に気付かれないように、コマンドアンドコントロールサーバーに送ります。
- 業務データや機密データの窃取:この攻撃では、POSシステムの脆弱性を突いて、パスワードやクレジットカードの情報、機密データ、業務データ、POSシステムで見つかったその他の情報を盗み取ります。
POSシステムが狙われる理由
POSシステムの導入開始と同時に、企業は現金での取引をやめる動きを加速してきました。その結果、企業では社内の業務の進め方が大きく変わりました。POSシステムを通過するデータはクレジットカードの情報にとどまらず、ビジネスのあらゆる側面のデータが対象になっています。
実際のところ、POSは、ビジネスの成功を支える基本的な要素となっており、ビジネス上のさまざま作業を一元化する役割を果たします。
在庫の追跡や、購買活動、製品の受け取り、ある場所から別の場所への製品の移動、返品の処理、コスト/価格/利益の分析、報告書の作成、セールストレンドに関するデータが集まっています。
関連するさまざまな業務活動を一元化し、自動化することができれば、少ないスタッフですばやく効率的にビジネスの規模を拡大することが可能になるのです。
POSシステムは広く浸透しており、グローバルレベルで見たPOS端末の設置台数は2017年の時点で1億900万台に上ります。
POSシステムはビジネス活動の効率を高めるうえで不可欠な存在となり、膨大な量の機密データの処理を担います。そのため、POSシステムはサイバー攻撃者にとっては価値の高い標的であり、企業にとっては保護すべき重要な資産なのです。
データが流出すれば、顧客の信頼を失う
クレジットカードの情報や個人情報が流出すれば、規制違反となるだけでなく、顧客の信頼を失うことになります。
Ponemonの調査によれば、企業がデータ侵害を受けた場合、それを理由にその企業との取引を打ち切ると述べた顧客の割合は31%になると言います。
しかも、この数字よりはるかに高い割合の顧客が、そのような企業は信用できなくなると回答しており、その数字は65%に達しています。このような脅威からの攻撃を防ぐ能力の有無が、さまざまな角度から企業の収益に影響を及ぼすことになるのです。
この脅威に対処する方法
このタイプの攻撃では、そのコンテキスト情報を把握するための強力な脅威インテリジェンスが不可欠になります。セキュリティチームは敵を理解できなければなりません。
攻撃の全容の把握を通じて、攻撃に対処することが求められます。最新の脅威インテリジェンスを適切な人員やプロセス、テクノロジーと組み合わせれば、進化した脅威にもいち早く対応することが可能です。
未知の新たなマルウェアの変種を利用した攻撃であっても、サイバーリーズンの防御プラットフォームなら、攻撃を受けたと同時に攻撃を防ぐことができ、アナリストは攻撃の全容を詳しく把握することが可能です。
このプラットフォームでは、シグネチャは使用せず、代わりに、攻撃の各段階で振舞いベースの検知を用いて攻撃の内容を特定します。
ホワイトペーパー「MITRE ATT&CKを使用してクローズドループ式のセキュリティプロセスを作成する5つの段階」
このホワイトペーパーでは、MITER ATT&CKを使用してクローズドループの戦術的なセキュリティ対策を実施するために参考にすべき、重要な5つの段階について説明します。
https://www.cybereason.co.jp/product-documents/white-paper/3259/
