TargetのPOS端末に感染したマルウェアは、カスタマイズされていたためにウイルス対策ソフトでも検出できなかったとみられる。
米小売り大手Targetから買い物客のクレジットカード情報などが大量に流出した事件で、セキュリティ情報サイトのKrebs on Securityは1月15日、攻撃に使われたマルウェアの種類や手口に関する事件の続報を伝えた。
この事件ではTargetの最高経営責任者(CEO)が、情報流出の原因はPOS端末のマルウェア感染にあったことを明らかにしている。
Krebs on Securityが捜査状況に詳しい関係者の話として伝えたところでは、同サイトがこの事件について最初に報じた12月18日、Target攻撃に使われたPOSマルウェアのコピーが、Symantec傘下のマルウェアスキャンサービス「ThreatExpert.com」にアップロードされていたことが分かった。Symantecは「Reedum」の名で、このマルウェアについての概略を12月18日にWebサイトに掲載している。
Reedumは少なくとも2013年7月以降、存在が知られていた形跡があるにもかかわらず、同年11月27日前後にTargetにインストールされた時点で、これを検出できた主要ウイルス対策ソフトは1つもなかったという。その理由について関係者は、「(Reedumは)検出を免れ、特定環境で使うためにカスタマイズされていた」との見方を示す。
このマルウェアは、闇市場で売買されているPOSマルウェアの「BlackPOS」とほぼ同一のものと思われるという。
攻撃者はTargetのWebサーバに不正侵入する手口を使い、店舗のPOS端末にマルウェアをアップロードして、Targetの社内ネットワーク内部にコントロールサーバを設定。リモートからそのサーバにアクセスしていたとみられる。
POS端末の運用に使われていたソフトウェアの種類は不明だが、関係者によれば、Targetの米国の店舗では従来、社内で開発した「Domain Center of Excellence」というソフトウェアを、Windows XP EmbeddedとWindows Embedded for Point of Service(WEPOS)上で運用していたという。
Copyright © ITmedia, Inc. All Rights Reserved.