小売業のセキュリティー対策はセール時期を問わず常時必須

記事をシェアする:

IBM Security X-Force（Incident Response and Intelligence Services）のデータによると、小売サービス業界は、全業界の中で4番目に多い攻撃対象となっており、2018年の上位10の業界における攻撃とインシデントの総数の11%を占めています。

私たちが年間を通して利用している小売店舗を標的とする攻撃者は、ホリデー・シーズンだけをターゲットにして準備しているわけではありません。IBM X-Forceのデータによれば、最大のスパムの急増は8月に起こり、その後、サイバー犯罪者が実際の攻撃の下準備をする9月と10月に多数発生していることが示されています。

11月末の感謝祭の直後からホリデー・シーズンにかけて消費者による購買量が大幅に急増します (英語)が、新年を迎えた後も、買い物客はシーズン最後のセールを期待して掘り出し物を探し回ります。取引額は引き続き比較的高くなるため、犯罪者にとっては格好のチャンスとなります。

最も標的にされる業種の1つである小売業者は、ホリデー・シーズンのかなり前からセキュアなインフラストラクチャーを構築し、年間を通してそれを進化・成熟させていくための対策を取る必要があります。

照準を当てられた小売業のプラットフォーム

小売業者に対する攻撃 (英語)では、サイバー犯罪者、特に組織的な犯罪グループは、一度に複数の小売業者を危険にさらす脆弱性を見つけようとしています。これは時間と費用に対する投資回収を最大限に高めるためです。その目標を達成するために、Webプラットフォームとサーバーを攻撃しているのです。

このように活動するサイバー犯罪集団の一例がMagecartです。この脅威アクターは、共通の脆弱性や欠陥のある機能を悪用した攻撃を自動化することで数十万ものWebサイトを侵害した (英語)ことで知られています。2019 年の年初に、Magecartグループは、フランスの広告ネットワークからサード・パーティーのJavaScriptライブラリーをハッキングして、少なくとも277のWebサイトで悪意のあるコードを実行し、買い物客がそれらのサイトで決済するたびに顧客のカードのデータを盗み続けていました。

小売業者を標的とするもう1つの傾向は、サイバー犯罪者が多額の一括払いを狙っていることです。そのために、一部の犯罪者は、時間をかけてカードのデータを盗み、自分たちで売却したり使用したりするのではなく、小売業界の企業ネットワークをターゲットにして、それらにランサムウェア攻撃を仕掛け、復号鍵に対して大抵は数百万ドルという多額の金を要求します。さらに悪いことには、システムを復旧させるまでの時間が長引く程、ビジネスに対する影響が大きくなることから、多くの小売業者が身代金を支払うことを選択しています。 (英語)

侵入者がランサムウェアを仕掛けないケースでは、小売業者のネットワークに侵入して、決済カードのデータ、顧客の個人情報 (PII)、サプライ・チェーン・データなどの顧客の機密情報を取り出し、競合他社に売却したり、そのデータを漏えいすると脅して企業をゆすったり、ダーク・ウェブ (英語)で売却したりすることがあります。

どのような種類であっても、多数の顧客記録が盗難されると、あっという間にコストが数億ドル (英語)にも膨れ上がるデータ漏えい事案となります。そして、漏えいに伴う初期のコストで損害が終わるわけではありません。このようなデータ漏えいに遭った小売業者は、データ漏えいの後、2年目も3年目も損害が増え続ける (英語)ことになりえます。

POSでパスを受け取る

各ネットワークはそれぞれ異なり、企業はそれぞれ適切と思われるセキュリティー・アーキテクチャーを使用できますが、小売業は、最も非集中型で多様なインフラストラクチャーを運用する業界の1つでもあります。この業界の企業は一般的な企業ネットワーク環境も運用していますが、インフラストラクチャーの大部分は必然的に、物理的な場所でカード取引を処理するPOSマシンで構成されています。

国中に分散配備されているか、場合によっては国をまたがって分散されているこれらのマシンは、物理的なリスクとリモート・リスクの両方にさらされています。

直接的なアクセスによるリスクは、悪意のあるオンサイト・アクターによるもので、デバイスをマルウェアに感染させ、物理的なコンポーネントを改変し、スキマーを埋め込み、PINパッドをカード番号とPINコードを記録するものに交換したりします。これらの攻撃では、ほとんどの場合、カードが複製されます。

リモート・アクセスのリスクは、このようなエンドポイントには付き物です。中央から更新と監視を行う必要があるため、すべてで同じリモート・アシスタンス・ソフトウェアを使用している場合には、潜在的な侵入者や総合的なリスクにさらすことになります。リモート攻撃は、マルウェアが関与することが多く、最終的に非対面でのカード(CNP: Card not Present)の不正利用につながる可能性が高くなります。

リモート攻撃は攻撃者にとって容易に拡大できるため、過去10年に攻撃者がよく用いるようになっている戦術の1つは、POSマルウェア (英語)で、POSマシンからクレジット・カード情報を取り出そうとする悪意のあるソフトウェアです。IBM Security X-Forceは最近、ITG08(FIN6としても知られています) (英語)と呼ばれるアクターによる新たな攻撃に関する調査を発表しました。この組織的な犯罪グループは以前から、POSマシンから決済カード・データを盗むことに特化しており、最近ではCNPでの不正へと対象を拡大しています。

IBM Security X-Forceはさらに、ITG08がFrameworkPOS (英語)やGratefulPOSといった既知のPOSマルウェアを利用して、2017年から2019年に仕掛けた攻撃で小売業界のPOSシステムから膨大な量の決済カード・データを盗んだことも確認しました。マルウェアが標的とするカード・データは、マシンに注入できますが、同じ目標を達成するために侵害されたWebサイトに移植 (英語)されることが頻繁に認められています。

カーディング・ボットはカーディングされない

カーディング・ボットという言葉を耳にしたことがありますか?「カーディング」とは、詐欺師が盗んだクレジット・カード・データを使用して購入や資金の移動を行うときに用いる用語です。しかし、無効になったカードを使用したい人はいないため、詐欺師は、購入や使用の前にカードの有効性を検証します。そのために、ダークWebマーケットで決済カードを販売するサイバー犯罪者は、検証サービスを提供しています。

彼らは、どのようにしてカードの有効性を検証し、それも大規模に検証できるのでしょうか。それは、カーディング・ボットを作成するのです。これは、オンライン・ショップのWebサイトや慈善団体のサイトで実行され、決済プロセスを経て少額の購入を行い、そのカードがまだ有効であるかどうかを確認する自動化スクリプトです。2019年11月に調査によって公開された (英語)最近の2つのボットは、稼働するプラットフォームを悪用することでe-コマース・サイトでチェックを実行するCanary Botと、ベンダーのカード決済APIを悪用するShortcut Botです。

これらのボットは簡単に手に入るもので、弾力性のあるもののみが長期にわたって機能し続け、盗んだ決済カード・データの終わりのないストリームから利益を得て、最終的にデータはサイバー犯罪者の手に渡ります。

攻撃者は早い時期から下準備をします — 小売業者も同様の対策が必要です

攻撃者は、スパム・キャンペーンを仕掛けるために年末まで必ずしも待っているとは限りません (英語)。実際、2015年から2018年にX-Forceのハニーポットで検出されたスパムの分析では、ある傾向が明らかになりました。スパム・キャンペーンの平均数は早くも8月に著しく増加しています。9月と10月のスパムの数はそれぞれ2番目と3番目でした。これは、攻撃者が、ショッピングの繁忙期よりもかなり前に種をまいておき、受け取る盗難データを調査して、優先順位を付けようとしていることを意味している可能性があります。

スパムの数は1年を通して増減しますが、小売業者は、これらの波を頼りにして、攻撃を仕掛ける犯罪者にとって絶好の時期に顧客とネットワークに対して最終的に仕掛けられる攻撃 (英語)を予測することはできません。データ漏えいの検知と阻止を迅速に行うほか、セキュリティー・プログラムを見直してインシデント対応 (英語)に新たに重点を置くテクノロジーに投資することで、攻撃が進行していたり、不運にも発生してしまった場合の対応にはっきりと違いが生まれます。

この違いは、漏えいの総コストの軽減という結果で現れます。例えば、「2019年度版 情報漏えい時に発生するコストに関する調査」によると、漏えいの発生時から抑止の時点までの漏えいライフサイクルが200日を超えた組織では、漏えいコストが平均よりも37%高くなります。

残念ながら、小売業界の漏えいライフサイクルは評価対象となった17の業界で4番目に長くて311日で、平均の279日より11%多く、多数の顧客に影響を及ぼす可能性がある漏えいの検知と抑止にかかる時間がだいぶ長くなります。漏えいが長引くほど、ビジネスの損失、訴訟、高額な違反制裁金など、あらゆる面で犠牲が大きくなります。

1年を通して回復力を強化するために小売業者ができること

個人データと決済データを保護することで顧客の信頼性を維持すると、組織の評価が上がり、顧客のロイヤルティーが高まり、結果として取引が増えます。攻撃者は、買い物客のデータが最も豊富にあると考えられる小売業者の拠点に狙いを定めるため、このような特定のゾーンでのリスクを軽減すると、悪意のある攻撃の低減に大きな効果を発揮します。下記に、留意すべき主要なセキュリティー管理とベスト・プラクティスを紹介します。

POSゾーン

• すべての拠点の従業員に対して、POS端末とスワイプ装置の適切な外観とコンポーネントを認識するためのトレーニングを行います。疑わしいことを発見した場合に報告するための簡単で利用しやすい手段を提供します。
• 重要資産へのアクセスを制限して、それらを保守する担当者の特権を適切に管理します。
• POSシステムでマルウェア検知ソフトウェアを使用します。
• 定期的なオペレーティング・システムの更新、アップグレード、ソフトウェア・パッチ適用によってPOSシステムを最新状態に保ちます。
• 小売業者は規制に準拠する必要があります。規制基準とセキュリティー要件の両方を、契約によって準拠するサプライヤーと協力します。
• モバイルPOSを使用する場合は、ハンドヘルド・デバイスの保全性と、カード・データを処理して保管するサーバーとの通信チャネルの暗号化を確保するために管理を行います。
• POSデバイスのハードウェアとソフトウェア、およびe-コマース・サイトの侵入テストを行い、結果に基づいてすべての基礎システムのセキュリティーを強化します。

ネットワーク

• ご自分の事業に最も関連した脅威に対するパッチ適用の優先順位付けを行います。最も悪用される脆弱性がないか注意して、インターネット接続のサーバーとシステムが最新状態であることを確認します。
• 企業ネットワークをセグメント化することで、PII、財務データ、POS情報を分離しておきます。
• 特に特権アカウントを持つ従業員に対して多要素認証 (MFA) を適用します。
• 攻撃者によっては有線で騒動を起こします。複数の曜日と週にわたって通常のトラフィックのベースラインを測定し、疑わしいトラフィックのピークやパターンを区別します。リモート管理サービス (PowerShell、WMI) などのWindowsツールの使用量の急増に注意します。攻撃の進行の前兆となっている可能性があります。
• ビジネスで通常使用するIPアドレスやドメインのホワイトリストを作成して、既知かまたはその可能性がある悪意のあるIPアドレスやドメインのブラックリストを作成し、ネットワークに侵入されないようにします。
• Webアプリケーション・ファイアウォール (WAF) を導入して、脅威を軽減するために、Webアプリケーションとの間で流入トラフィックのフィルタリング、監視、ブロックが確実に行われるようにします。
• ロード・バランサーなどの制御により、トラフィックのピークと潜在的な分散型サービス妨害 (DDoS) 攻撃に備えます。

Webサイト

• Magecartによる攻撃では、Webサイトがレンダリングする内容を改変して、カード・データを盗むコードを表示します。変更の監視と検知のソリューションを導入して、e-コマース・プラットフォームのWebホスティング・ディレクトリーに対する無許可の変更を見つけられるようにします。これが実行可能でない場合は、手動での定期点検をスケジュールしてください。
• コンテンツ・セキュリティー・ポリシーを使用して、実行可能スクリプトのソースを制限します。
• e-コマース・プラットフォーム全体でディレクトリーとファイルのアクセス権を減らします。
• 開発チームがセキュリティー・チームと協力して、SQLインジェクション、XSS、認証の不備、Webロジックの欠陥、誤構成などの一般的な攻撃 (PDF, 英語, 1.7MB)に対してコードを強化するようにします。
• 定期的にパッチを適用します。パッチがリリースされたらすぐにチームがプラットフォームを更新できるように、事業継続性について計画します。
• エンドツーエンド暗号化 (E2EE) を可能な限り使用します。
• バックアップを自動化して、それらをオフラインで保持します。

従業員の体制
従業員が用心深いと、ホリデー・シーズン中の攻撃の抑制がはるかに効果的になります。

• 組織内の全従業員の役割ベースのトレーニングを計画します。
• 物理的セキュリティーとデジタル・セキュリティーの両方 (英語)について従業員のトレーニングを行います。
• テストを実施して、補習トレーニングが必要なユーザーを特定します。その後、必要に応じてトレーニングと再テストを行います。
• 最も重要な点として、問題を報告するために簡単に利用できるリソースを全ユーザーに提供してください。ユーザーがどのような質問や疑いについてもITセキュリティー・センターに連絡できるようにしてください。

要点を押さえましたか?侵入テストを実行しましょう

セキュリティー態勢が成熟している小売業者の重要な予防手段は、侵入テストの実施です。簡単に言うと、組織のセキュリティー・チームは、ホワイト・ハット・ハッカー、つまり侵入テスターが、犯罪攻撃者と同じ戦術、手法、手順 (TTP) を使用して資産を手動で侵害しようとします。これは、組織が適用した保護が実際に計画どおりに機能するかを確認して、犯罪者が高価値の資産を侵害する可能性のある未知の脆弱性を見つけるためです。

対応計画を用意して定期的に訓練を実施

インシデントに対する組織の対応がタイムリーで組織的であるほど、影響を抑えて制御するのが早くなります。確かなインシデント対応計画が用意されていると、インシデントを迅速に阻止する上で役立ち、顧客データの保護 (英語)の強化、漏えいコストの削減、組織の評価の維持につながります。攻撃が発生する前に、組織内のさまざまな部門のメンバーから成る専門のインシデント対応チームを設置しましょう。

チームが感染や攻撃を疑う場合には、待つことなくインシデント対応計画を開始して、抑止し、修復を開始しましょう。組織で対応の支援が必要になった場合には、IBM Security X-Forceホットライン (米国ホットライン 1-888-241-9812 | グローバル・ホットライン (+001) 602-220-1440) にお問い合わせください。

 

【関連情報】

IBM X-Force Incident Response and Intelligence Servicesの概要

【お問い合わせ】

メールでのお問い合わせはこちらから

【著者情報】

この記事は次の記事の抄訳です。

Staying Vigilant About Retail Security Does Not End on Black Friday（英語）