攻撃者はまずリモートデスクトップに攻撃を仕掛けて管理者アカウントに侵入し、ここからPOSマルウェアを仕込んで消費者の決済情報を盗み出すという。
米セキュリティ機関US-CERTは7月31日、小売業者などのPOS端末を狙った新手のマルウェアが出回っているとして、アラートを出して注意を呼び掛けた。
US-CERTは米シークレットサービスなどと連携して、POS情報が盗まれた複数の事件について調べる過程でこのマルウェアを発見し、「Backoff」と命名した。2013年10月ごろに発見され、2014年7月現在も複数の亜種が出回っているという。
攻撃側はまず、一般に公開されているツールを用いてMicrosoftやAppleなどのリモートデスクトップアプリケーションを使っている事業所を突き止め、ブルートフォース(総当たり)攻撃を仕掛けて、管理者アカウントや特権アカウントに不正侵入する。ここからPOSマルウェアを仕込んで、暗号化されたPOSリクエスト経由で消費者の決済情報を盗み出す。
こうした手口は過去に出現したPOSマルウェアでも使われており、リモートデスクトッププロトコルに対してブルートフォース攻撃を仕掛ける手口が増えているとの報告もあるという。
POSシステムがマルウェアに感染すれば、顧客の氏名や住所、クレジットカード番号といった情報が流出する恐れがあり、消費者の情報の不正利用や企業の信頼の失墜などにつながりかねないとUS-CERTは警告する。
現時点でウイルス対策製品によるBackoffの検出率は極めて低く、完全にパッチを当てたコンピュータでウイルス対策エンジンが最新の状態に保たれていたとしても、Backoffを検出できない可能性があるという。
US-CERTのアラートでは、リモートデスクトップのアカウントロックアウト設定や、POSシステムへのハードウェアベースの暗号化実装など、POS攻撃を防ぐための具体的なセキュリティ対策も紹介している。
Copyright © ITmedia, Inc. All Rights Reserved.