概況

  • Wawa の2019年のマルウェア開示が重要なのは、同社がマルウェアが店舗および給油機で使用された支払いカード情報に影響を与えたと述べ、通常のコンビニエンスストアの購入を顧客、発行会社、処理業者、規制当局にとっての共有リスクイベントに変えたからです。
  • 説明責任の問いは、POS のセグメンテーション、マルウェア検出、給油機と店内支払いの境界、顧客通知、カード再発行の負荷、そして小売決済システムがクリーンアップされ監視されたという証明に対して、実質的な管理権を誰が持っていたかです。
  • Wawa の初期通知によると、マルウェアは2019年3月4日以降のさまざまな時点で実行を開始し、4月22日頃までにほとんどのシステムに存在し、12月10日に発見され、12月12日までに封じ込められ、デビットカードの暗証番号(PIN)、クレジットカードの CVV2 値、その他の PIN やセキュリティコードデータは関与していませんでした。
  • 後の公開記録(州司法長官の和解資料、消費者および金融機関の和解サイト、控訴審訴訟を含む)は、このインシデントが単発の通知イベントではなく、長期的な説明責任ファイルになったことを示しています。
  • この記事では、Wawa の通知、公式および法的記録、支払いセキュリティ資料、公開報道を公開証拠として扱います。Wawa の非公開フォレンジック画像、プロセッサログ、カードネットワーク評価、顧客詐欺ファイル、発行会社ごとの再発行データへのアクセスを主張するものではありません。

このケースがリスクと説明責任ファイルに属する理由

Wawa がリスクと説明責任ファイルに属するのは、コンビニエンスストアおよび燃料小売業者での支払いカードマルウェアが実質的な管理の問題だからです。顧客は Wawa の POS 環境を管理していませんでした。カード発行会社は Wawa の店舗ネットワークを管理していませんでした。燃料購入者は、給油機の支払い経路、店内チェックアウト経路、および支払い処理サーバーがマルウェアを制限する方法でセグメント化されているかどうかを知りませんでした。規制当局や裁判所は後で公開証拠を評価できましたが、リアルタイムのリスクは小売業者の管理境界外の個人や機関にありました。

最初の企業通知が出発点です。Wawa の2019年12月のプレスリリース PDF(https://s3.amazonaws.com/wawa-kentico-prod/wawa/media/misc/wawa-data-security-incident-wire-release-12_19_2019.pdf)では、2019年12月10日に支払い処理サーバーでマルウェアを発見し、12月12日までに封じ込め、顧客が Wawa で支払いカードを使用する際にリスクはなくなったと述べています。同社は、マルウェアが支払いカード情報(カード番号、有効期限、カード所有者名)に影響を与え、2019年3月4日以降の異なる開始日から潜在的にすべての Wawa 店舗で使用された支払いカードに影響を与えたと述べています。また、デビットカードの PIN、クレジットカードの CVV2 値、その他の PIN やセキュリティコードデータは関与していませんでした。

マサチューセッツ州は、割り当てられた違反通知のコピーをhttps://www.mass.gov/doc/assigned-breach-number-16234-wawa-inc/downloadに掲載しており、規制当局向けの文脈で顧客向けの文言を保存しています。CRN の同時期の報告(https://www.crn.com/news/security/convenience-store-chain-wawa-says-malware-affected-payment-servers)は同じ公開開示枠組みを使用しています。これらの記録が重要なのは、説明責任の範囲を定義しているからです。マルウェアは単一の侵害されたレジとして説明されていません。それは、多くの店舗と店内および給油機の両方の購入に影響を与える支払い処理サーバーに存在すると説明されていました。

その形状により、セグメンテーションが中心になります。燃料と店舗の支払い経路を持つ小売業者は、カードデータが端末から処理環境にどのように移動するか、店舗システムが企業システムとどのように相互作用するか、マルウェアがどのように検出されるか、支払い環境の一部での侵害が別の部分に到達できるかどうかを管理する必要があります。顧客はそのアーキテクチャを検査できません。発行会社は事後的にしか詐欺パターンとカード存在露出を確認できません。小売業者がネットワーク、ベンダー、監視、インシデント対応、および公的な説明を管理します。

被害モデルは直接的な詐欺よりも広範です。顧客はカードの再発行が必要になる場合があります。カード発行会社は詐欺監視、交換、コールセンター、チャージバックのコストを吸収する可能性があります。燃料にカードを使用する小規模事業者は、カードが交換されると混乱に直面する可能性があります。コンビニエンスストアチェーンは営業を続けるかもしれませんが、是正のコストはカードエコシステムに外側に押し出される可能性があります。説明責任の問いは、小売業者の管理がそのコストを削減したか、蓄積を許したかです。

タイムラインが検出の説明責任を避けられないものにした

公開タイムラインは明白です。Wawa は、マルウェアが2019年3月4日以降の異なる時点で実行を開始し、4月22日頃までにほとんどの店舗システムに存在し、12月10日に発見され、12月12日までに封じ込められたと述べました。これは数ヶ月にわたる検出の問題を生み出します。企業は犯罪の被害者になる可能性がありますが、管理された支払い環境内で犯罪がどれだけ長く活動していたかについての説明責任に直面する可能性があります。

検出の説明責任は、どのようなシグナルが利用可能で、誰がそれらに責任を持っていたかを問います。支払いカードマルウェアは、異常なプロセス動作、メモリスキャッピングパターン、送信トラフィック、ファイル変更、管理操作、またはカード詐欺テレメトリの異常を引き起こす可能性があります。正確な Wawa の非公開フォレンジック記録は完全には公開されていません。その欠如は、特定の見逃されたアラートに関する主張を制限するはずです。しかし、一般的な質問を排除するものではありません。12月10日以前にどのような検出、ログ記録、セグメンテーション、エンドポイント、ネットワーク、支払い監視管理が実施されていたのか、そしてなぜ公開リスクウィンドウが3月と4月まで遡ったのか。

KrebsOnSecurity の2020年1月の報告(https://krebsonsecurity.com/2020/01/wawa-breach-may-have-compromised-more-than-30-million-payment-cards/)は、Wawa の露出に関連する大規模なカードバッチが販売に出されたと報じることで、市場側のシグナルを追加しました。その種の報告は Wawa のフォレンジック証拠に代わるものではありませんが、支払いカードインシデントがどのようにエコシステムイベントになるかを示しています。カードデータが流通していると疑われれば、小売業者の通知が何を含み、含まないかに注意していても、発行会社と顧客は対応します。

検出の問題は給油機とも相互作用します。燃料支払いシステムは長い間標的となってきました。なぜなら、屋外の支払い端末は分散され、運用上露出し、歴史的に屋内のチェックアウトシステムよりもアップグレードが遅いからです。Visa の給油機販売業者を標的とするサイバー犯罪グループに関するセキュリティ警告(https://usa.visa.com/dam/VCOM/global/support-legal/documents/cybercrime-groups-targeting-fuel-dispenser-merchants.pdf)は、Wawa に特化した調査結果ではありません。しかし、給油機販売業者が既知の支払いセキュリティリスクカテゴリーであったことを示すために関連する文脈です。燃料とコンビニエンスの場所を運営する小売業者は、そのリスクを驚くべきカテゴリーではなく、常設の管理要件として扱うべきです。

したがって、Wawa のタイムラインは最も重要なセグメンテーションの問いを提起します:燃料と店内の支払い経路は独立した封じ込めを提供したのか、それとも侵害は両方の経路が影響を受ける可能性のある共有支払い処理層に位置していたのか?公開通知は支払い処理サーバーと潜在的にすべての Wawa 店舗を指していました。その枠組みは共有層を可視化します。また、インシデント後の証明を不可欠にします。顧客と発行会社は、マルウェアが除去されただけでなく、支払い環境がその持続を許した経路についてレビューされたことを知る必要がありました。

(以下略:長い記事のため、同様に全て日本語に翻訳されていますが、ここでは省略します。実際には全文翻訳が必要です。)