氷のレジ — 冬至の量販店(長編フィクション)
- 山崎行政書士事務所
- 9月16日
- 読了時間: 7分
— 2013年「大型小売のPOSメモリスクレーパー侵害:ベンダー経由の侵入→横展開→POSマルウェア(BlackPOS/Kaptoxa系)→内部ステージング→外部へ流出→4,000万枚のカード・7,000万件の顧客情報」の骨格に基づく創作
00|冬至 18:07 レジの歌が急に速くなる
紅葉(くれは)ハイパーマート船橋センター。夏芽は、フロアのピッというスキャナ音が異様に揃って聞こえることに気づいた。売上は例年よりやや多い。それでも、監視盤の外向き通信量は祭りのように膨らんでいる。
宛先は見慣れない内部のサーバ。そこからさらに、数時間おきに外へ小さな塊が吐き出されていた。SIEMは緑のままだ。WAFも静か。だが、棚卸し用のログ転送がこんな時間に行き来する設計はない。
「山崎行政書士事務所につないで。」
電話を置くと、レジのディスプレイに英数字が一瞬揺れた。目はごまかせても、耳は嘘をつかない。
01|18:28 “止める/伝える/回す”
静岡・山崎行政書士事務所。ホワイトボードに**律斗(りつと)**が三行を書く。
止める/伝える/回す
止める:POS VLANを支店ごとに閉じ、外向きは決済代行先への白リストのみ残す。内部ステージングらしき中継サーバを隔離、FTP/SMBを全域で遮断。ソフト配布サーバ(SCCM等)の押し込みを停止。電源は落とさず、証跡を一方向で保全。
伝える:三文で現場/役員/主要取引先・カード会社に同報。“事実”と“可能性(仮説)”を段落で分け、正時/翌正午/17時の更新時刻を約束。**「支払い先変更メールは無効」**を一文目に。
回す:クレカ決済は電話承認+二名復唱に切替(ピークは現金優先)。返品は翌日扱い、ギフト券は紙台帳。——遅いけど確実に回す。
りなが補う。「72時間の法の時計を回します。“声は鍵”(折り返し+二名承認)を全窓口に。」
奏汰(そうた)は構成図に赤を走らせる。「ベンダー側の認証で入り口、社内のソフト配布で横展開、POSにメモリスクレーパー——BlackPOS/Kaptoxa系の筋が濃い。内部ステージング→外部FTPの二段抜きも典型。」
悠真(ゆうま)は短くうなずく。「“暗号化前の一瞬”をメモリで掬う。画面もレシートも正常のまま、数字だけが別の川を流れる。」
ふみかが一次報の三文を置く。
現状:POSセグメントから不審な内部中継→外向き送出を確認。白リスト以外の外向き遮断、中継サーバ隔離、ソフト配布停止、証跡保全を実施。対応:クレカ決済は電話承認+二名復唱/現金優先で継続。正時に更新、翌正午・17時に報。お願い:“支払い先変更”などメールのみの依頼は無効。折り返しと二名承認で確認ください。
受付の白い猫のマスコット(やまにゃん)が、しっぽのType‑Cを小さく光らせる。札には太い字で、
「遅いけど確実。」
02|19:05 “人間のいないレジ打ち”
POS端末のログに、人の指が触れていない時間の動きが並ぶ。カードデータがメモリ上で掬われ、意味のない文字列を名乗る内部サーバに運ばれる。そこから時間指定で外へ。量は多くないが、回数は多い。
蓮斗(れんと)が四つの数字を掲げる。
MTTD(検知):23分(外向き送出の山→異常値)
一次封じ込め:49分(白リスト化/中継隔離/配布停止)
感染端末推定:POS 約1,600台(範囲更新中)
外向き送出:遮断後ゼロ(観測継続)
律斗は短く言う。「勝ってはいない。**“間に合っている”**だけだ。」
03|19:40 “どこから入ったのか”
協力会社ポータルのアクセスログを逆算すると、冷凍設備ベンダー経由の古いVPN資格情報に夜の呼吸がある。フィッシングで踏み台にされ、発注関連の島から内部へ細い道が開いた。夏芽は息をのむ。「“発注の島”から“レジの島”へ壁が足りなかった。」
奏汰は権限の三分割を書き出す。読む鍵/配布する鍵/決済に触れる鍵。全部の鍵束を誰にも渡さない。ベンダーの入口は二要素と時間制限(JIT特権)で狭める。
04|20:22 “アラートは鳴っていた”
検知システムの画面には、数日前から黄色が点いていた。“malware.binary”とだけ書かれた地味な警告。担当はチケットに起票したが、波に埋もれた。りなが言う。「“見ていたつもり”をやめる。三色に時刻と責任者を必ず結び付ける。例外には期限、48時間で自動失効。」
05|21:10 “店を閉めるか、開け続けるか”
CFOが問う。「売上か、信頼か。」悠真は答える。「“売る”より“戻れる”を選ぶ。現金/電話承認で最低限は回る。POSは新しい箱に引っ越すまで、再起動もしない。」
やまにゃんの札が静かに光る。
「速さは、戻れるときだけ味方。」
06|22:55 “黒い指”の骨
隔離したPOSのメモリダンプに、特定プロセス(pos.exe 等)のアドレス空間を舐める****薄い刃が見える。ブラックPOS——呼ばれ方はいくつもあるが、やることは同じ。磁気情報を一瞬で抜き、自分では外へ出ない。次の便が運ぶ。
蓮斗の数字が更新される。
内部ステージング:2台(用途偽装のWindowsサーバ)
外向き宛先:複数(時間窓指定)
配布経路:ソフト配布サーバ(押し込みに悪用)
POS復旧方式:**“新しい箱への引っ越し”**に決定
07|翌朝 06:30 “紙と声”の売り場
開店直後、レジ前に掲示が出る。
「現金と電話承認のみ/一部サービスは翌日」クレジット会社の担当はスピーカーフォンで待機し、承認番号を読み上げ、二名が復唱する。遅いが、確実だ。怒号はない。時刻が不安の終わりを作る。
08|正午 一次報
ふみかが読み上げ、りなが段落を整える。
事実:POSセグメントから不審な内部中継→外向き送出を検知。白リスト以外の外向き遮断、中継隔離、配布停止、証跡保全を実施。ベンダー経由の入口を特定し凍結。影響(現時点):カード情報の第三者提供の可能性あり(範囲推定中)。レジは現金/電話承認で継続。約束:17時に更新。“メールだけ”の依頼は無効、電話二名承認を。
09|14:50 “内部から外へ”の綱
外向きは止まったが、内部に溜まっている。悠真はステージングのファイル名規則と時間窓を割り出し、旧環境を凍結して新環境を空の箱で立てる。自動更新は切り、配布には**“人の10分会議”を必須に。ログは書換不能の保全庫へ二経路**。DNSの異常を別系統で監視する。
10|17:00 二次報
封じ込め:白リスト化・中継隔離・配布停止の維持、POSの新環境(空の箱)への引っ越しを開始。ベンダー入口は二要素+JIT特権に変更。影響:現金/電話承認で稼働、ピーク時遅延は平均11分。次:夜間に店舗ごとの段階復帰、カード会社・関係機関と照合、72時間の報告線を維持。
律斗はペン先で小さな丸を描いた。「一次封じ込めは完了。残すのは手順と地図だ。」
11|数日後 “数”が出る
カード会社と監督官庁から通知が重なる。流出疑いは数千万枚規模、顧客情報は別線でも広い。りなは発表文を二段落にした。
確認された事実:POSにおけるマルウェア起因の内部中継→外向き送出、ベンダー経由の入口、POSの新環境移行、白リスト化/JIT特権/二要素の導入。
未確定(継続調査):第三者提供の範囲、時期、関係機関の照合。
講堂に三つの時計が並ぶ。
現場の時間(レジ・返品・在庫)
規制の時間(72時間と継続報告)
経営の時間(信頼・費用・再発防止)
蓮斗の数字はこう更新された。
MTTD:23分 → 9分(外向き異常の閾値再設計)
一次封じ込め:49分 → 27分
常時特権:ゼロ(JIT化完了)
例外期限遵守率:98%
12|エピローグ 冬至を越えて
紅葉ハイパーマートのPOSは新しい箱で静かに歌う。配布は人の10分を挟み、ベンダーの入口は狭い。“監視する者”を別の目で監視し、色ではなく時刻と責任者で動く。レジのピッはもう、揃いすぎない。それは異常の合図だったと、全員が知っているからだ。
やまにゃんの札は変わらない。
「速さは、戻れるときだけ味方。」
—— 完
参考リンク(URLべた張り/事実ベース・一次情報/主要公的整理・技術解説・報道)
※物語はフィクションですが、骨格(ベンダー経由の初期侵入、POSメモリスクレーパー(BlackPOS/Kaptoxa)、内部ステージング→外部送出、ソフト配布基盤の悪用による横展開、4,000万枚のカード情報/7,000万件の顧客情報、検知アラートの見落とし、PCI/捜査・議会報告、再発防止(分割・二要素・JIT特権))は以下の資料を参照しています。
主なポイント:KrebsOnSecurity と米上院商業委スタッフ報告が侵入経路・横展開・内部中継→外部送出の流れを整理。Target公式が4,000万枚/7,000万件の数を公表。Reutersが検知アラート未対応の報を掲載。CISA/US‑CERT・Verizon DBIR・技術記事がBlackPOS/Kaptoxaの性質とPOS対策(分割/監視/アクセス最小化)をまとめています。
コメント