日本のPOS端末が狙われる？組込みシステムのセキュリティ対策

　一昨年のクリスマス商戦にあたる11月27日〜12月15日の間、米国小売業大手Target社の米国内店舗で利用されたクレジットカードおよびデビットカード情報が4000万件、顧客の氏名・住所・電話番号・メールアドレスなど個人情報7000万人分がPOSシステムに仕込まれたウイルスにより流出した。昨年の日本国内の過去最大規模の情報漏洩事件（2070万件の顧客情報が流出）に比較してもその規模の大きさに驚かされるが、何より深刻な金銭被害が発生しかねないカード情報の大量流出が不安をかきたてた。一方、世界の小売業はじめ物品販売や物流、チケット予約・販売など、顧客のクレジットカードを店頭や客先訪問で利用する業務を行う企業では、情報漏洩規模もさることながら、信頼しきっていたPOSシステムに意外なもろさがあることに慄然としたのではないだろうか。
　POSシステムはそもそも決済サービスや社内の管理システム以外との通信を想定していない。加えてクレジットカードなどの情報は端末内に保持せず、読み取ったら即座に暗号化してVPNなど安全性の高い通信経路で送信する仕組みをとることがほとんどだ。端末内、あるいは管理サーバー内で情報を保管する場合でも暗号化して、たとえそのデータが持ちだされても解読できないようにしている。いわば閉じられた環境の中だけで運用されているシステムなので、内部不正がない限りはウイルス感染や不正アクセスの危険はほとんど考えなくてよいと思われてきた。そこに起きたのがこの大規模情報漏洩事件だ。アメリカでは同種の事件がその前からたびたび発生しており、当の事件後の昨年9月にも、ホームセンター大手のHome Depot社から顧客のクレジットカード情報が5600万件流出し、アンダーグラウンドマーケットで販売される事件が起きている。ちなみにこちらの事件では５ヵ月間にわたる攻撃により、アメリカ国内で同社が展開する2200店舗のほぼすべてから情報が漏洩したとされている。
　日本国内でも、昨年からPOS端末に感染して情報搾取を狙うウイルスが発見されており、金銭的な被害はまだ公表例がないものの、脅威はすぐ間近にある。
　さて、閉じられているはずのPOSシステムにウイルスはどうやって忍び込むのだろうか。1つの経路は、組込みシステムへの外部機器接続だ。これまでの例では、従業員がウイルスに感染したUSBメモリを1台の端末に接続して端末がウイルス感染し、そのウイルスがネットワーク内に感染を広げるケースがあった。また、同一LANにPOS端末以外の業務用端末が接続されている場合、業務用端末のメール受信やインターネット接続などの行動でウイルス感染すると、古くからある大規模感染事例と同様に、POS端末を含めたLAN全体に感染が広がることもある。
　さらに気をつけたいもう1つの経路は、外部からは見えないネットワークを内側から探って侵入する手口だ。例えば図1に見るように、まず標的企業の取引先企業のユーザーのアカウントを何らかの方法で奪って取引先企業のシステムにひとまず侵入し、日頃から業務で使っている標的企業との通信経路を用いて標的企業のシステムに侵入を企てる。それに成功するとウイルスを送り込んでリモートコントロールを可能にし、各種の攻撃手法により社内ネットワークの調査やウイルス感染を行う。やがては標的企業の業務ネットワークとは区分けされたPOSシステムなどの専用ネットワークにまで侵入を広げ、端末にウイルスを仕込み、情報窃取を行う仕組みができてしまう。アメリカの事件では、このような手口が使われたのではないかと想定されている。

図1 POSシステムを狙う攻撃の想定イメージ

　今日のウイルスの怖さは、感染力よりも攻撃の多様性だ。1台の端末がウイルス感染すると、攻撃者のC&C（司令）サーバーからのリモートコントロールが行われ、ネットワーク内の端末の調査が行われたうえ、弱点を見つけては攻撃用のツールをいくつも送り込んで侵入を深めていく手法がとられるようになった。
　このような攻撃は、POSシステムに限らず、汎用的なOSを利用した組込みシステムすべてに応用される可能性がある。ユーザー企業側としては、こうした攻撃に対してどのように対策できるだろうか。以下で考えていこう。