カスタムビルドされたマルウェアが小売業者のPOSシステムから直接クレジットカード情報を盗み出しているとサイバーセキュリティ研究者が警告した。

「TreasureHunt」と呼ばれるこのマルウェアは、FireEyeによって発見された。POSを標的とするTreasureHuntは特定の組織から情報を盗み出すのに使用されているとFireEyeは警告する。

TreasureHuntは、比較的古くてセキュリティの弱いPOSシステムを使用する米国の小売業者を標的にしているようだ。具体的には、それらのPOSシステムはチップとPIN、カードではなく、「スワイプ」を利用して決済を認証する。

FireEyeの脅威研究者Nart Villeneuve氏がTreasureHuntに関するブログで述べたところによると、ひとたびPOSマシンが感染されると、同マルウェアは実行中のプロセスを列挙して、決済カード情報をメモリから抽出し、この情報を指揮統制サーバに送信するという。

TreasureHuntのコードを調べると、同マルウェアはBearsIncに関係していることが分かる。FireEyeの説明によると、BearsIncは「クレジットカード詐欺を専門に扱うアンダーグラウンドのサイバー犯罪フォーラムで活動している」という。そのようなフォーラムでは多くの場合、ユーザー間で、盗まれた決済情報の売買が行われる。

TreasureHuntの作成者は「Jolly Roger」（海賊旗）というハンドル名で投稿している。侵入したシステムを制御するウェブインターフェースは、どくろ印が描かれたアイコンを使用しており、ここでも海賊のテーマが貫かれている。

TreasureHuntが最初に使われたのは2014年のことだとされている。米国の小売業者がスワイプベースの決済システムからチップベースへの移行を完了する前に旧式のシステムに感染しようと犯罪者が試みているため、2015年と2016年にはTreasureHuntの検出頻度が高まっている。

「POS脅威の世界では、アンダーグラウンドでのツール提供と、新しいマルウェアの積極的な使用の両方が増加している。そうした需要の高まりは、米国でEMVチップとPINテクノロジへの移行が進んでいることに起因する可能性が高い。移行が完了したら、これらの手法はほとんど使えなくなってしまう」（Villeneuve氏）

同氏はさらに、「多くの犯罪者は、メモリスクレイピング手法を使用するPOSマルウェアがまだ有効なうちにそれを利用したいと考えている」と述べ、POSマルウェアの主な標的はSMBだと付け加えた。

Villeneuve氏は、「よりセキュアなチップ対応カードに移行する大手企業が増加する中、今後は移行の進んでいない可能性のある小規模な小売業者や銀行がサイバー犯罪者の標的になることが増えるとわれわれはみている」と結論づけた。