2017 年 11 月の Forever 21 小売店からカード情報漏えい: POS システム上にマルウェア、意図したカード情報暗号化が正常処理されずカード情報がログから漏えい

• 元記事 www.darkreading.com
• 参照されている過去の記事
• Forever 21 で顧客情報漏えい: 2017 年 3 月から 2017 年 10 月の間に支払いに利用されたカードの情報が漏えいした可能性があるという問題www.darkreading.com
• Forever 21 の公式発表 Forever 21
  • 2017-11-14 に公表したインシデントについての詳細情報
  • 「サードパーティのクレジットモニタリング機関からカード情報への不正なアクセスの可能性を通知され調査したところ、2015 年に導入したトークン化処理と暗号化処理が正常に機能せず、マルウェアに感染した POS のログ処理装置から情報が漏れたとみられる」
  • マルウェアが異なる複数の店舗の一部の POS システムにインストールされていた
    • マルウェアのインストールが確認された期間: 2017-04-03 から 2017-11-18 まで、対象 POS 装置によって感染期間はまちまち
• 影響を受けたカードは実店舗で使われたカード類でオンラインストアで使用されたカードには影響なし
• 「ダークネットで販売すればカネになることから小売店はサイバー犯罪で狙われやすい。POS システムのセキュリティ対策に本腰を入れなければならない。アンチウイルスソフト、FW だけでなく脅威をプロアクティブに検出する対策を導入しなければならないだろう」

Intel の CPU の設計上の脆弱性「Meltdown」および「Spectre」、全 Windows、Linux および Intel 86-64 ハードウェアを利用する 64-bit MacOS システム、一部の ARM チップセット利用デバイスに影響

• 元記事1 www.theregister.co.uk
• 元記事 1 を参照した日本語の記事 gigazine.net

• 元記事 2 www.zdnet.com

• Intel 社製 CPU に 10 年来の脆弱性、カーネルメモリの内容が漏えいする問題

  • 脆弱性の通名「Meltdown」および「Spectre」
  • 修正パッチの通名「KAISER」
  • 完全に分離されなければならないユーザーモードのプログラムがセキュリティ上の対策として利用されるカーネルのアドレス空間配置のランダム化(KASLR)の仕組みを出し抜いてカーネルモードのメモリの内容をある程度読み取ることができるという脆弱性
• Linux および Windows についてパッチが提供されているが導入するとパフォーマンスが犠牲に
  • 「ベンチマークでは 5%～30% のパフォーマンス低下を招く」
• マイクロコードによる修正は不可、OS のソフトウェアレベルでの対応か根本的な対応ハードウェアの再設計が必要

対策

• Linux 用パッチ
• Microsoft 社は次の Patch Tuesday でセキュリティアップデートを公開する予定
• Microsoft の Azure Cloud は 1/10 にパッチ適用のためのメンテナンスを行う予定
• Amazon Web Services も 2018-01-05 10:00 GMT から 2018-01-06 02:00 GMT にメンテナンスを行うことをメールで顧客に通知

記事の修正

• 2017-01-04「KAISER」は本脆弱性の通名でなく本事象の修正パッチを指すためタイトルおよび内容の説明部分を変更
• 2017-01-04 影響を受けるデバイスの種類として ARM を追記
• 2017-01-04 1995 年から影響があったという元記事 2 の内容から、影響を受けた年数を 10 年から 22 年に修正