米大手ホームセンター Home Depot は、同社のホームページ上で、決済システムに不正侵入があったことを確認したと発表している。それに先立って先週には、ロシアとウクライナのサイバー犯罪者が、アトランタを拠点にする小売業の POS(販売時点情報管理)端末に不正侵入したことが報告されている。

この不正侵入によって今年4月以降に米国とカナダの Home Depot 店舗で購入した顧客が被害にあったことが推測され、最長で4か月から5か月に渡って不正侵入が続き、最大で6,000万件のクレジットカード情報が窃取された可能性がある。

この Home Depot への攻撃は、POS システムを狙う不正プログラム「BlackPOS」を利用して実行されたと推測されている。トレンドマイクロが 今月初めに同社ブログ上で取り上げた BlackPOS の亜種と、Home Depot を攻撃した POS マルウェアの挙動が非常に似ていることから、この亜種が今回の攻撃の一端を担っている可能性があるそうだ。

この亜種は、通常の BlackPOS の亜種とさまざまな点で異なる。2012年、BlackPOS のソースコードが流出した後、コードが大幅に書き換えられたようだ。この亜種が利用する API コールは、情報窃取のために対象のプロセスを列挙する。また、カスタム検索が導入され、クレジットカードのトラック情報を検索する。なお、この BlackPOS の亜種は、「TSPY_MEMLOG.A」として検出される。

このように POS マルウェアが巧妙化しているということは、この不正プログラムがさらに大きな脅威となることを明示している。

トレンドマイクロでは対策として、最新の IC チップ搭載のクレジットカードや POS 端末に切り替えることや、不審な取引がないか銀行の取引明細書を定期的に確認することを勧めている。