カスペルスキーの新しいレポートは、2020~2022 年の ATM および販売時点情報管理 (PoS) マルウェアの状況を明らかにしています。
COVID-19の影響
パンデミック中に世界中でロックダウンが行われた結果、人々は家に留まり、物理的に店に行く代わりにオンラインで必要なものを購入するしか選択肢がなかったため、ATM および POS マルウェアの活動は大幅に減少しました。
2020年のATM/PoSへの攻撃件数は、2019年と比較して大幅に減少し、約8,000件から4,800件に減少しました(図A)。
図A
ロックダウンにより多くの機器の電源が完全にオフになったが、研究者らが説明するように、この減少を説明するもう一つの理由は、世界中で現金自動預け払い機の数が減少傾向にあることだ。
2021年には攻撃が39%増加したことが観測され、COVID-19の制限が緩和され、顧客が通常の消費習慣に戻ることができるようになったことが示されました。
参照: モバイルデバイスのセキュリティポリシー (TechRepublic Premium)
2020~2022年にATM/POSマルウェア攻撃の最も標的となる地域
2017年から2021年にかけて、ロシアは常に最も被害を受けた国でした。カスペルスキー社によると、老朽化したATMはほとんどのマルウェアファミリーに対して脆弱であり、サイバーセキュリティのレベルも低かったため、攻撃者が容易にアクセスして金銭を盗むことができました。ブラジルも同様の状況にあり、老朽化したATMが多数存在するだけでなく、ブラジルでは新たなPOSマルウェアを作成するサイバー犯罪者も多数存在します。
ジンバブエは2021年にトップ5にランクインし、2022年もその地位を維持しています。カスペルスキー社の説明によると、その理由は、中国の投資家が同国で新たな事業を立ち上げ、経済成長を生み出し、サイバー犯罪者にとって魅力的な国となっているためです。
マルウェアの主な活動の種類
Kaspersky の分析では、HydraPoS と AbaddonPoS という 2 つのマルウェア ファミリが際立っています (図 B )。
図B
ハイドラポス
HydraPoSは依然としてトップの座を維持していますが、最近は新バージョンがリリースされていません。このマルウェアはブラジルで発生し、クレジットカードのクローンを作成することで悪名高いものです。HydraPoSは、複数のマルウェアと少数の正規のサードパーティ製ツールを組み合わせています。
HydraPoSをデバイスにインストールするために、サイバー犯罪者はソーシャルエンジニアリングを駆使します。企業に電話をかけ、クレジットカード会社の従業員を装います。信頼関係が築かれた後、被害者にウェブサイトにアクセスしてアップデートをインストールするよう依頼します。しかし、これが感染を引き起こし、犯罪者にアクセスを許してしまうのです。
アバドンPoS
AbaddonPoS は 2015 年から活動しており、分析回避メカニズム、コード難読化、被害者からサイバー犯罪者へデータを抜き出すカスタム プロトコルによって自らの活動を隠そうとする一般的な PoS マルウェアです。
プルトゥス
Ploutusは、最も高度なATMマルウェアの一つです。2013年に初めて登場しましたが、その後もバージョンアップを重ね、特にブラジルのATMメーカーなどの組織を標的としています。このマルウェアは、攻撃者がATM上で実行されている正規のソフトウェアを改変し、権限昇格を実行してATMを制御できるようにすることで、サイバー犯罪者が要求に応じてATMから現金を引き出すことを可能にします。
生のPoS
RawPoSは、最も古いPoSマルウェアの一つです。2008年から使用されており、揮発性メモリから磁気ストライプデータ全体を抽出することができます。
プリレックス
Prilexは、2016年にATMを標的としたマルウェアからPOSマルウェアへと活動範囲を転換したブラジルの脅威アクターです。この活動以前には、ブラジル最大規模のATM攻撃の一つを仕掛け、1,000台以上のATMから現金を窃取するとともに、これらのATMで使用されていた28,000枚のクレジットカードを複製しました。PrilexのPOSマルウェアは、PINパッドとの通信を改ざんし、EMV(Europay、Mastercard、Visa)認証を回避できる、非常に高度で複雑なマルウェアへと進化しました。このマルウェアの背後にいるサイバー犯罪者は、MaaS(Malware as a Service)というビジネスモデルを採用し、サイバー犯罪者の闇市場で約3,500ドルで販売していました。
参照:パスワード侵害:ポップカルチャーとパスワードが混ざらない理由(無料PDF)(TechRepublic)
何も知らない犠牲者
POSデバイスを利用する企業は、そのソフトウェアを盲目的に信頼し、サイバー犯罪者が盗み出す可能性のあるあらゆる情報を盗み出すマルウェアがデバイスに潜んでいる可能性に気づいていない傾向があるようです。こうした信頼にはある程度の根拠があります。クレジットカード業界は、機密性の高い決済データのエンドツーエンド暗号化を強制する複数のセキュリティ標準を採用しており、サイバー犯罪者の侵入を困難にしています。しかし、攻撃者がこれらのデバイス上でコードを実行できたとしても、機密データにアクセスできてしまう可能性があります。データはメモリ内でのみ復号化され、他のストレージには保存されません。
ソーシャル エンジニアリングは、POS デバイスにマルウェアを感染させるのにも非常に効果的であるようです。従業員は一般に、これらのデバイスの取り扱い手順をすべて熟知しているわけではなく、「専門家」が要求するあらゆることを実行する可能性があるためです。
この脅威からどのように身を守るのでしょうか?
顧客がこの脅威に対してできることは明らかに多くないため、PoS デバイスの保守担当者と ATM メーカーがすべてのセキュリティ対策を導入する必要があります。
まず、古いシステム、特に古いバージョンのMicrosoft Windowsを実行しているシステムは、アップデートとパッチ適用が必要です。また、様々な攻撃ベクトルから保護し、脅威を検出するために、組み込みセキュリティソフトウェアを導入する必要があります。
これらのデバイスでは通信が暗号化されていますが、異常な量のデータ転送や異なる IP アドレスへの予期しない通信を検出できるネットワーク検出/防御ソリューションを導入することをお勧めします。
アプリケーションのホワイトリストをデバイスに導入して、選択したソフトウェアのみの実行を許可することもできます。これにより、攻撃者がそれらのデバイス上でマルウェアやコードを実行することが難しくなります。
開示:私はトレンドマイクロに勤務していますが、この記事で述べられている意見は私自身のものです。
