RAMスクレーパーの攻撃手法とその対策

RAMスクレーパーの標的と攻撃手法

■企業の従業員のコンピュータを足掛かりにPOS端末を狙う

POS端末や店舗のサーバは基本的にはクローズドな専用ネットワークで結ばれています。そのためPOS端末がインターネットなどを経由してRAMスクレーパーに感染するといったことはありません。ではどこから感染するのかといえば、各店舗を取りまとめる企業の従業員のPCなどです。

攻撃者はまず、従業員のPCにメールやWebサイトを経由し、不正アクセスを試みます。そして、従業員のPCに感染したら、これを足掛かりに社内ネットワークからPOS端末や店舗サーバに到達していきます。

■暗号化されたデータが一瞬だけ平文化される隙をつくRAMスクレーパー

通常、POS端末ではクレジットカード番号やパスワードなどの機密情報は暗号化されサーバに格納されます。しかし実は、顧客のカードを読み取りした後、一瞬だけカードの磁気情報がメモリ上に平文で展開される瞬間があり、RAMスクレーパーはその隙をついて情報を窃盗します。

また多くのレジで利用されているWindowsでは、メインメモリ領域が不足すると未割り当て領域にページファイルを作成しスワップとして利用します。処理が終わればまた元通り未割り当て領域に戻るもののそこに残った物理データをRAMスクレーパーは抽出することができます。もし平文の情報が未割り当て領域に残っていれば、後に暗号化されていたとしても何の意味もありません。

RAMスクレーパーの被害

RAMスクレーパー攻撃からの防御対策

■POS端末は安全という意識を変革すべき

上述したように、攻撃者はPOS端末を直接狙わずとも、あらゆる経路を使いターゲットにたどりつき攻撃を仕掛けてきます。つまり、RAMスクレーパーからPOS端末を防御するには、何よりもまずPOS端末は安全であるといった間違った意識を捨てることにあります。

RAMスクレーパーからの防御対策としてまず行うことは、専用のウィルス対策ソフトの導入です。POS端末は通常のコンピュータと違い使われるソフトは限られているためホワイトリスト式のウィルス対策ソフトも有効です。その上で専用ネットワークであるから心配ないといった考えを捨て改めてネットワークの見直し・強化を行います。もちろん通常のインターネット接続でネットワークを利用しているといった場合はすぐにクローズドのものに変更します。

このようなPOS端末のウィルス対策、ネットワークの強化は基本的には提供事業者に依頼することになるでしょう。また一方、POS端末に接続する可能性のあるPCのウィルス対策ソフト導入はもちろん、ソフトやアプリ等は常に最新版に更新する、不審なサイトから無闇にダウンロードを行わないといった基本的対策は欠かせません。

そして、POS端末とそれに接続するPCの安全を守るために必要なウィルス対策ソフトはどのようなものか、どのようなサービスを利用すべきなのか情報収集に努め、適切な製品を選ぶこともまた、重要な対策となります。