［米国］
小売り大手ハナフォードのカード情報流出事件、原因はサーバにマルウェア

「内部関係者が意図的に仕込んだ可能性もある」と専門家

（2008年03月31日）

　食品雑貨チェーン大手の米国Hannaford Bros.から最大420万件の顧客のカード情報が流出した事件で、同社は3月25日、侵入者は同社のニューイングランド、ニューヨーク、フロリダの各店舗のサーバにマルウェア・プログラムを仕込み、犯行に及んだことを明らかにした。

　Hannafordの法務責任者、エミリー・ディキンソン（Emily Dickinson）氏は、マサチューセッツ州当局に3月25日付けで送付した書簡の中で、これらのマルウェアは、決済カード・データが取引認証のために同社のPOSシステムから送信される際に、このデータを傍受するために使われたと記している。

　マルウェアが大量にインストールされていたことが判明したため、Hannafordは店舗のサーバをすべて交換したという。Dickinson氏は書簡の中で、同社は米国財務省検察局とITセキュリティ・ベンダーの協力の下、被害にあったサーバをすべて特定／撤去したと説明している。

　ただし書簡には、侵入者が同社のサーバにどのような経路でアクセスし、どうやってマルウェアを仕込んだのかは記されていない。Dickinson氏はHannaford幹部のコメントとして、同社は昨年と2月27日に、PCIデータ・セキュリティ標準（PCIDSS：Payment Card Industry Data Security Standard）に準拠しているとの認定を受けていたと記している。

　侵入防止システム・ベンダーのTop Layer NetworksでCSO（最高戦略責任者）を務めるマイク・パケット（Mike Paquette）氏は、「今回の事件は、システム間での通信中にカード・データが大量に傍受された、最初の情報流出事件と言える。これまでに報告された情報流出事件のほとんどは、データベースやストレージに保存されていた情報を盗み取るというものだった」と指摘した。

　「これまでに明らかにされた情報から判断すると、攻撃者は同社のサーバに存在した脆弱性を外部から攻撃し、ネットワークに侵入して店舗のサーバにマルウェアを仕込んだ可能性がある」（Paquette氏）

　またソフトウェア・ベンダーのLumension Securityでセキュリティ技術担当副社長を務めるクリス・アンドルー（Chris Andrew）氏は、「今回の情報流出は、Hannafordのセキュリティ対策に落ち度があったからだ」としたうえで、以下のように分析した。

　「何者か（内部者の可能性もある）がHannafordのサーバに物理的にアクセスし、マルウェアを仕込んだ可能性も否定できない。多くの小売業者は、標準のソフトウェア・イメージをすべてのサーバで使用している。1つのシステムにセキュリティ上の脆弱性があれば、ほかのシステムにも同じ脆弱性が存在する可能性が高い」

　Paquette氏は、サーバにインストールされたマルウェアは自身の存在を隠し、傍受したカード・データをリモート・システムに送信しているはずだと指摘する。

　「攻撃手口は非常に巧妙化しており、Hannafordがシステムを監視していたとしても、正常に動作しているように見えただろう」（Paquette氏）

　しかしAndrew氏は、Hannafordのセキュリティの甘さを指摘している。「同社がネットワークを厳しくロックダウンしていなかったことは明らかだ。ふさいでおくべき外部への抜け道を放置したことは、まちがいない」（Andrew氏）

(Jaikumar Vijayan／Computerworld米国版)