小売り大手ハナフォードのカード情報流出事件、原因はサーバにマルウェア
「内部関係者が意図的に仕込んだ可能性もある」と専門家食品雑貨チェーン大手の米国Hannaford Bros.から最大420万件の顧客のカード情報が流出した事件で、同社は3月25日、侵入者は同社のニューイングランド、ニューヨーク、フロリダの各店舗のサーバにマルウェア・プログラムを仕込み、犯行に及んだことを明らかにした。
Hannafordの法務責任者、エミリー・ディキンソン(Emily Dickinson)氏は、マサチューセッツ州当局に3月25日付けで送付した書簡の中で、これらのマルウェアは、決済カード・データが取引認証のために同社のPOSシステムから送信される際に、このデータを傍受するために使われたと記している。
マルウェアが大量にインストールされていたことが判明したため、Hannafordは店舗のサーバをすべて交換したという。Dickinson氏は書簡の中で、同社は米国財務省検察局とITセキュリティ・ベンダーの協力の下、被害にあったサーバをすべて特定/撤去したと説明している。
ただし書簡には、侵入者が同社のサーバにどのような経路でアクセスし、どうやってマルウェアを仕込んだのかは記されていない。Dickinson氏はHannaford幹部のコメントとして、同社は昨年と2月27日に、PCIデータ・セキュリティ標準(PCIDSS:Payment Card Industry Data Security Standard)に準拠しているとの認定を受けていたと記している。
侵入防止システム・ベンダーのTop Layer NetworksでCSO(最高戦略責任者)を務めるマイク・パケット(Mike Paquette)氏は、「今回の事件は、システム間での通信中にカード・データが大量に傍受された、最初の情報流出事件と言える。これまでに報告された情報流出事件のほとんどは、データベースやストレージに保存されていた情報を盗み取るというものだった」と指摘した。
「これまでに明らかにされた情報から判断すると、攻撃者は同社のサーバに存在した脆弱性を外部から攻撃し、ネットワークに侵入して店舗のサーバにマルウェアを仕込んだ可能性がある」(Paquette氏)
またソフトウェア・ベンダーのLumension Securityでセキュリティ技術担当副社長を務めるクリス・アンドルー(Chris Andrew)氏は、「今回の情報流出は、Hannafordのセキュリティ対策に落ち度があったからだ」としたうえで、以下のように分析した。
「何者か(内部者の可能性もある)がHannafordのサーバに物理的にアクセスし、マルウェアを仕込んだ可能性も否定できない。多くの小売業者は、標準のソフトウェア・イメージをすべてのサーバで使用している。1つのシステムにセキュリティ上の脆弱性があれば、ほかのシステムにも同じ脆弱性が存在する可能性が高い」
Paquette氏は、サーバにインストールされたマルウェアは自身の存在を隠し、傍受したカード・データをリモート・システムに送信しているはずだと指摘する。
「攻撃手口は非常に巧妙化しており、Hannafordがシステムを監視していたとしても、正常に動作しているように見えただろう」(Paquette氏)
しかしAndrew氏は、Hannafordのセキュリティの甘さを指摘している。「同社がネットワークを厳しくロックダウンしていなかったことは明らかだ。ふさいでおくべき外部への抜け道を放置したことは、まちがいない」(Andrew氏)
(Jaikumar Vijayan/Computerworld米国版)
