飲食業界におけるサイバーセキュリティの現状は?大手コーヒーショップの情報漏洩を受けて
サイバー攻撃は手法そのものの多様化だけでなく、さまざまな組織が標的となっていることも忘れてはいけません。デジタル化が各業種で浸透したことにより、これまではテクノロジーとあまり縁のなかった飲食の領域においても、深刻なサイバー攻撃の事案が国内で発生しています。
飲食業界が標的となる場合、主な攻撃対象は運用するPOSシステムやECサイトなどです。この記事では飲食業界が抱える潜在的な脆弱性や、それぞれのリスクへどのように対処すれば良いのか、詳しく解説します。
大手コーヒーショップで大規模な情報漏えいが発生
2024年10月、国内でトップクラスのシェアを誇る大手コーヒーチェーンで、サイバー攻撃による大規模な情報漏えいがあったことがわかりました。
被害の対象となったのは、同社の運営するECサイトです。実際にサイバー攻撃を受けたのは同年の5月で、調査の結果、不正アクセスによるユーザーの個人情報流出が明らかになりました。
流出したユーザー情報の中には、クレジットカード情報も含まれていたということです。このことは第三者機関によって実施されたフォレンジック調査の結果を受けて発表されており、残念ながら高い確率ですでに第三者の手にわたっていることが考えられます。
今回のサイバー攻撃で情報漏えい被害に遭った可能性があるのは、2021年7月20日から2024年5月20日の期間内に、同社のオンラインストアを使用したユーザーの個人情報です。同ECサイトの総ユーザー数は9万2,685人で、上記期間の間にカード決済を行なったユーザーは5万2,958人にのぼることも判明しています。
同社はすでにサイバー攻撃を受け情報が流出してしまった疑いのあるユーザーに対し個別に連絡を行い、事態の収拾に動いているということです。
飲食業界におけるサイバー攻撃の現状
今回発覚した、コーヒーチェーンを標的とする大規模なサイバー攻撃のような事件は、日本ではまだ数が少ないというのが現状です。事実、飲食業界は飲食物を販売・提供するという事業の都合上、デジタルが関与する余地が他の業種に比べると少ない傾向にあります。そのため、サイバー攻撃のきっかけも限られているため、その発生件数は小さく抑えられているわけです。
日本ネットワークセキュリティ協会(JNSA)が発表した資料によると、2017年から2022年にかけて発生した1,320件のサイバー攻撃のうち、宿泊業や飲食サービス業を対象とした攻撃はわずか26件、全体の2%程度にとどまることがわかっています。
一方で、製造業や卸売業・小売業といった分野では、いずれも全体の20%以上を占めています。このことを踏まえると、サイバーセキュリティ強化の優先順位はどうしても飲食業界では下がってしまうのも無理はありません。
とはいえ、これらのデータは2022年までに集計されたものであり、2024年現在ではこの割合も大きく変化している可能性も高いでしょう。DXの推進により飲食の現場でも業務のデジタル化が進み、現場のデジタル依存も進んでいることから、一度サイバー攻撃を受けると甚大な損失を生むリスクが高まっているからです。
また、近年は飲食業のEC進出も盛んに行われています。上で紹介した大手コーヒーチェーンのサイバー攻撃も、同社のECサイトを狙った攻撃であったため、今後も同様の犯行が他の企業を標的に行われる可能性は高いです。
十分なセキュリティリテラシーが蓄積されないまま、現場のデジタル化が進んでしまうと、その分サイバー攻撃の余地が広がってしまいます。いざサイバー攻撃を受けた際にも適切な初動対応ができず、全社的に被害を受けてしまうと、事業の継続性さえ奪われるリスクも出てくるでしょう。
今後本格的な業務デジタル化が控えている場合、改めてそのリスクについて適切に評価し、正しいセキュリティ対策を施していけるよう備えておくべきです。
狙われるPOSシステム
飲食店のサイバーセキュリティを考える場合、優先して対応すべきはPOSシステムです。飲食に限らず小売店では必ずと言って良いほど導入されているPOSシステムは、サイバー攻撃の主要な標的となりつつあります。
POSシステムが標的となりやすい最大の理由は、データベースに多くの個人情報が記録されているからです。POSレジは売り上げ情報や顧客情報がまとめて記録され、それを事業者のデータ資産として運用しやすい点が高く評価されています。ここにはもちろんクレジットカードの決済情報なども含まれているため、サイバー攻撃者にとっては魅力的な攻撃対象となるわけです。
もちろん、POSシステムもこのようなリスクを踏まえ、相応のセキュリティ対策が施されていることがほとんどです。しかしサイバー攻撃手法の高度化により、セキュリティが突破されるリスクをゼロにすることは不可能と考えるべきでしょう。また、POSを運用する事業者側のエラーにより、サイバー攻撃のきっかけを生み出してしまうケースもあることから、POS周辺の対策強化は必須と言えます。
POSシステムのリスク要因
POSシステムのリスク要因は多様です。懸念すべき主な問題としては、以下の5つが挙げられます。
老朽化したシステム
POSシステムの普及が始まったのはずいぶん前ですが、導入当初のシステムを依然として使い続けている場合、深刻な脆弱性を抱えている場合があります。
近年導入されているクラウドPOSのような最新のPOS環境の場合、ベンダーによって定期的なアップデートが行われるため、老朽化のリスクは低いでしょう。一方で保守期限が切れている製品を依然として使い続けているようなケースだと、最新のセキュリティ環境にキャッチアップできず、攻撃を受けた際の被害が大きくなる恐れがあります。
脆弱性の高い認証体制
POSシステムには重要性の高い個人情報が含まれていながら、誰でもアクセスが可能であるような認証体制になっているケースが珍しくありません。
シンプルな数字の羅列やIDさえあればログインできるような状況は、簡単に外部のアクセスを許してしまう事態に発展します。複雑なパスワード設定や、より高度な認証の仕組みを整える施策が必要です。
不十分なネットワークセキュリティ
不用意にインターネットに接続されているPOSシステムは、それだけでリスクとなり得ます。インターネットへの接続はデータの有効活用という側面で見れば重要ですが、十分なファイアウォール設定などは必ず欠かせません。
ネットワークセキュリティが疎かである場合、いとも簡単に攻撃の糸口を与えてしまうため、サイバー攻撃のリスクは飛躍的に高まります。
モニタリング体制の欠如
サイバー攻撃はいつやってくるかわからないため、24時間365日のシステム監視体制が求められています。一方でPOSシステム運用において、このような継続監視の仕組みが整えられているケースは少なく、攻撃の兆候を掴むのが遅れてしまう事態が懸念されるのが現状です。
気づかない間にマルウェアに侵入され、情報の流出が水面下で行われていた、といったシナリオも想定されます。
物理アクセス
システムを運用しているハードウェアが誰にでもアクセスできるような場所に放置されている場合、物理的な侵入によって攻撃を受ける恐れがあります。
物理的なアクセス権限も厳しく設定しなければ、どれだけソフト面でのセキュリティを強化しても簡単に無力化されるかもしれません。飲食店は特に不特定多数の人間との接触が多く発生し、POSレジを店頭に設置することが一般的なため、ハード面のリスクは小さくないと考えるべきでしょう。
猛威を振るうTrickBot-Anchor攻撃
POSシステムへの攻撃手法として広く知られているのが、TrickBot-Anchor攻撃です。モジュール方式のアーキテクチャを採用するTrickBotと呼ばれるボットネットは、多様な業種においてさまざまな悪意ある活動を実現するための手段として広まりました。攻撃者の間で感染状況が簡単に共有でき、どのマシンが感染し、マルウェアの活動状況も明らかにできる点が最大の特徴です。
感染経路は他のマルウェアと同様に、フィッシングメールのような初歩的な手法が採用されています。特定のリンクをユーザーがクリックすることで、標的のマシンに自動的にTrickBotがダウンロードされ、容易に次の攻撃への足がかりを作り出します。
たった一台のPOSシステムがTrickBotに感染してしまうだけで、同システム下にある他のエンドポイントにも感染が拡大してしまうリスクがある点も気をつけなければいけません。TrickBotに感染したマシンが、他のマシンへの感染のためのエントリポイントとして機能し、最終的にはシステム全体が攻撃者に掌握されるという、恐ろしい事態に発展するリスクを秘めています。
TrickBot-Anchor攻撃は、そんなTrickBotを使ってAnchorと呼ばれるマルウェアに標的を感染させ、バックドアを設置し情報流出を引き起こすという手法です。Anchorは2016年ごろから確認されているマルウェアの一種で、元々は大手金融サービスなどを攻撃するために開発されたと言われています。機密性の高い、価値ある機密情報を入手することに特化しており、POSシステムに保管されているクレジット情報などが標的です。
TrickBotとAnchorは別個の攻撃手段ですが、両者のコードには類似点も多く、その互換性の高さから同じ開発者の手によって生み出されたとも言われています。
Anchorを使った攻撃は、攻撃者のサーバー(C2サーバー)と感染先のシステムとの通信を秘密裏に行うこともできます。初動対応に遅れ、気づいた時には重大な情報漏えいに発展しているというシナリオに、備えなければいけません。
ECサイト攻撃にも最大限の警戒を
POSシステムと合わせて、もう一つ警戒する必要があるのが、ECサイトです。冒頭で取り上げたコーヒーショップの事例のように、EC進出は飲食業界のスタンダードとなりつつある施策ですが、多くの個人情報を内包しているリスクはよく理解しておくべきでしょう。
飲食業界のEC化割合は他の業種に比べるとまだ多くはありませんが、その分今後の伸び代に注目が集まっています。これは裏を返すと、今後EC化率の増大に伴い、多くの飲食店がサイバー攻撃の脅威に晒されるリスクがあるというわけです。
ECサイトは決済情報をはじめとする多くの重要情報が蓄積されているだけでなく、サイバー攻撃のバリエーションも豊富です。DDoS攻撃による機会損失の発生や、対応の遅れを端緒とするゼロデイ攻撃、問い合わせフォームなどを悪用したSQLインジェクションなど、各種アプローチに対しての対策が求められています。
ECサイト構築で押さえるべきCPSFについて
ECサイトの構築・運営に際し、経済産業省はセキュリティ対策の要としてCPSFを導入することを推奨しています。
CPSFとは「サイバー・フィジカル・セキュリティ対策フレームワーク」の略称で、米国の研究機関NISTが提唱する「CSF」を日本向けにアレンジしたものです。CPSFの実践に際して含めるべき要素として、経産省は以下の6つの構成要素を提示しています。
| 構成要素 | 主な例 | 主な脆弱性 |
| ソシキ | ECサイト運営事業者 | 不十分なセキュリティポリシー、セキュリティ教育の不足 |
| ヒト | 事業者や企業に属する従業員 | ソシキの脆弱性と連動。従業員の知識・経験不足 |
| モノ | PC、サーバー | モニタリング環境の不足。構成要素の把握の不十分 |
| データ | 個人情報、決済情報 | ずさんな機密情報管理。情報保護の不足 |
| プロシージャ | 遵守すべきガイドラインや法律など | インシデント発生時の初動対応の遅れ |
| システム | ECシステムやインフラ | 脅威検知機能の未実装 |
このように構成要素を明文化しておくことで、それぞれの要素が脅威にさらされた場合、どのようなセキュリティインシデントが起こりうるのか、どれくらいの被害が想定されるのかを客観的に評価することが可能です。
また、CPSFでは分析対象を3層構造のモデルに落とし込むことで、具体的な特性の把握に役立てることができるとしています。3層構造モデルは、以下のレイヤーで構成されています。
- 第1層:組織マネジメントの信頼性
- 第2層:サイバー空間とフィジカル空間のつながりにおける、転写機能の信頼性
- 第3層:データの信頼性
第1層では組織マネジメントにフォーカスし、組織で管理されるデータやモノを分析対象とします。
続く第2層は、IoTなどによってサイバー空間と現実世界が相互に結びつき、つながりの範囲が拡大していくことを踏まえたレイヤーです。データを転写するためのモノやシステムに目を向け、適切な評価を行います。
第3層は、データの送受信や加工などの処理に目を向けているレイヤーです。データがもたらすサービスの創造性や効率性を担保するための信頼性を確保するべく設けられており、管理するデータそのものやハードウェアを評価対象とします。
このように、CPSFはECサイトの運営管理に伴う様々なテクノロジーやヒトに関する要素を対象としているのが特徴です。自社で抱えているリソースの規模や、リスクのスケールに応じた、最適な対策方法の検討に役立てられるでしょう。
まとめ:飲食店が実施すべきセキュリティ対策は?
飲食店で何らかのデジタル業務が発生している場合、その規模を問わずセキュリティ対策の導入は必ず必要です。近年はタブレットで使えるPOSシステムや、簡単に立ち上げられるECサイトサービスが登場したことで、多くの事業者がデジタル化を推進しています。
また、業務のデジタル化は費用対効果や生産性の高さから、遅かれ早かれ必ず必要になってくる取り組みです。必要なセキュリティ対策を正しく分析するには、現在のデジタル活用状況を整理し、脆弱性を評価するプロセスを挟むことが求められます。
正しい現状把握と脆弱性の評価は、必要なセキュリティ対策の導入を導いてくれる大切な過程です。現在のデジタル化状況、そして今後のDX施策も踏まえた対策計画を策定し、脅威から身を守れるよう備えておきましょう。
この記事をシェア
