今のあらゆる規模のオンライン取引は、支払いが受けられる必要があります。これこそ無人でも製品とサービスの売買を行うことができるための唯一の方法なのです。これは容易で経済的ですが、情報を共有することからいくつかのリスクが伴います。
決済代行サービスは注意深く取り扱わないと、彼らのデータ喪失によって、会社の評判を落としたり、コンプライアンスの欠如のために罰金を支払わされたり、さらには倒産まで追い込まれる事態を招いているからです。
事業がリスクにさらされているかをどう検知するか
このようなリスクは会社の規模に関わらず存在しています。Modisによれば、ハッカーが貴重だと思う情報でさえあれば起こるようです。だからこそ、会社の情報をどこに保存しておくかについてよく検討しなければなりません。
最近よくあるのは、社内のサーバーに保存されたデータよりもリモートのデータセンターやクラウドサーバーに保存されたデータが狙われることです。ただし、リモートサーバーに情報を送る際にウェブサイトにて移送を行うため、自社のウェブサーバーにもいくらかの情報が保存されています。このような事態は特に独自の、或いはカスタムメイドのショッピングカートを利用していると起きやすいのです。
どのネットワークセキュリティのソフトウェアを利用しているかに関わらず、データがどのような経路を辿るのかを知っておく必要があります。また、自社のウェブサイトに外部者が訪ねてくるときに、外部者のインターネットブラウザにhttps://や、「ロック」のシンボルが表示されているかを確認しておきましょう。
さらに、今、カード所有者のデータを取り扱う業務を行っていたり組織として取り扱っている場合、業務担当者や組織はPCI DSSに従わなければなりません。これは安全なデータ伝送と保存に関する基準を定めることによってクレジットカード詐欺を阻止するものです。また侵入を検知する手段を提供し、個人情報へのアクセス権を持つ者の基準を設定、更にこの情報を合法的に収集する方法を創出しています。
規制当局は定期的な監査を行なうことで、企業や組織がPCIに準拠していることを確認できます。
決済代行の注意すべき問題点
オンライン決済の過程ではサイバー脅威インテリジェンスが重要だと理解していることは大切ですが、どんな問題点に注意すべきかを知っていることも同じように重要です。攻撃の多くは、データの転送中に起きています。
ほとんどの決済代行はウェブサイトと支払い処理システム(クレジットカード会社や銀行といった他のパーティーも含め)の間でTLS暗号化を通して安全に行われていますが、情報が一旦到達した後にまだ危険があります。もちろん、情報セキュリティのインテリジェンスアーキテクチャ内にてハイグレードの暗号化を用いることもできますが、それでも安全が脅かされていることについて「懸念」を持つことが重要なのです。
1. 漏洩
データ漏洩の多くはセキュリティアーキテクチャの程度の低さや基準の欠如、管理体制の低さが原因です。TLS暗号化はネットワーク上でデータを送る上で重要なもので、特にインターネット上の時にその威力を発します。この暗号化を導入するとデータは指定した受信者のみが読むことができ、それ以外の人間が見れば暗号化されていて読むことができないようになっています。
2. 暗号化の失敗
残念ながら多くの会社はカード保持者の機微な個人情報(例えばカード番号や認証番号など)についてだけ守り、機微でない情報(例えば名前、住所、電話番号など)については費用に影響が出るので保護していないのです。これは、攻撃者が暗号化された情報へのアクセスを試みる過程で暗号化されていない情報が利用可能になることを意味しています。
3. 2FA(2要素認証)の見過ごし
ユーザーとIP アドレスのホワイトリスト方式だろうとその他の方法であろうと、2要素認証の導入は絶対的に必要です。安全なシステムといっても脆弱な部分があれば、その程度の安全でしかないからです。
4. DDOS攻撃
このようなタイプのキャンペーンではコンピューターを大量のデータの洪水であふれさせます。それによって、ハッカーはコンピュータのリソースを使い尽くすので、コンピュータのパフォーマンスが衰えます。そのためコンピュータが要求事項に反応しないようにしたりコンピュータ自身のハードウェアが破壊されたり、ありとあらゆることが可能になるのです。そのような攻撃は複数のソースから同時に行われることもあり、実際そのようにしてマイクロソフト社のXbox Live、ソニー社のPlaystation Network、Facebookなどのインターネットの最大規模のサービスを崩壊させることができたのです。
上記に述べられた全てのセキュリティーへの脅威は、本当に大きな問題となっているのです。そして残念ながら、このようなタイプの攻撃が勢いを緩める兆候は全く見られません。代わりに、ブラック・ハット・ハッカーが台頭、彼らの攻撃はますます洗練されてきています。
そのため、情報セキュリティの専門家は、ハッカーより一歩か二歩先を行けるよう駆け回っています。 彼らは、これらのハッカーの侵入を自動的に検出し、彼らによる機密情報へのアクセスを防止できるように警告する安全な決済代行システムを構築するために最善を尽くしています。
これらの努力が最終的にこれらの攻撃を阻止し、その被害を緩和することが期待されています。
著者について:EvanはMWR Infosecurity のネットワーク・セキュリティ・マネジャーとして、特にテクノロジー、サイバー・セキュリティ、機密データを危険にさらす可能性のある脅威などに関するブログを執筆している熱意にあふれたライターとして知られる。倫理的ハッキングに関する経験も豊富。
編集者注:この寄稿記事で述べられている意見は、寄稿者の個人的見解であり、必ずしもTripwire、Inc.の立場を反映するものではありません。
