クレジットカード情報、
「非保持化」すれば大丈夫?
Web改ざん対策をはじめとする 非保持化以外のセキュリティ対策にも目を
2019年2月22日に日本カード情報セキュリティ協議会が開催した「加盟店調査の動向と対策セミナー」では、割賦販売法改正を受け、加盟店に求められるセキュリティ対策が解説された。最新の攻撃手法を見ると、「非保持化」以外のセキュリティ対策も欠かせないという。
オンライン取引市場が拡大の一途をたどる一方、ネットショップのWebサイトが不正アクセスを受け、クレジットカード番号を含む顧客の個人情報が流出してしまう事件は残念ながら後を絶たない。このまま手をこまねいていては、オンラインショッピングに対する不安が広がるばかりだ。
そこで経済産業省やクレジットカード業界ではさまざまな対策に取り組んできた。その1つが、2018年6月1日に施行された改正割賦販売法だ。この改正では、ネットショップを運営する小売店(=クレジットカード情報を扱う「加盟店」)などに対し、クレジットカード番号などの保護のために適切な措置を、つまりセキュリティ対策を実施するよう求めることとなった。
具体的な対策の指針となっているのが、クレジット取引セキュリティ対策協議会のまとめた、いわゆる「実行計画」だ。ここでは加盟店に対し、国際的なセキュリティ標準である「PCI DSS」に準拠するか、システム内にクレジットカード情報を保存しない「非保持化」を実施するか、いずれかの対策を求めている。PCI DSS準拠には多くの取り組みが求められ、中小規模の事業者も含む加盟店にとってはハードルが高いことから、非保持化を選択するケースが大半のようだ。
割賦販売法改正ではこれとともに、カード会社に加えアクワイヤラーを「登録制」とし、契約する加盟店に対し、前述の実行計画に基づいたセキュリティ対策を実施しているかどうかの調査を求めることになった。こうした施策の組み合わせにより、消費者が安心してオンライン取引を楽しめる環境を整えていく方針だ。
カード会社、加盟店ともに模索が続くセキュリティ対策
ただ、クレジットカード決済にはカード会社やアクワイヤラーの他、決済代行業者(SSP)、それに大はスーパーや百貨店から小は数人規模の加盟店まで、業種も規模もさまざまな企業が関わり、パートナー関係も複雑だ。この中でどのように対策を進めていくべきか、模索が続いている。
クレジットカード情報の保護に向けた情報交換・連携の場として設けられた日本カード情報セキュリティ協議会(JCDSC)では、定期的にセミナーを実施し、啓蒙啓発に取り組んできた。2019年2月22日に開催された「加盟店調査の動向と対策セミナー」も、そんな場の1つだ。
JCDSC事務局の森大吾氏(日本オフィス・システム)は、2018年12月に、カード会社やPSPを対象に実施した「加盟店調査の情報交換セミナー」の参加者に対して行ったアンケート結果を紹介した。
PCI DSS準拠よりも非保持化を選択する加盟店が圧倒的に多い中、実行計画では、加盟店に対しセキュリティ対策を求め、不十分な部分は指導や必要な措置を実施するよう求めることになっている。ただ「どのように非保持化したか」を確認する方法となると意見が分かれるようだ。「非保持化は完了しましたか?」と尋ねるだけでいいのか、具体的に方法を確認すべきか、確認するならどこまで深く確認すべきか……アンケートからは、回答各社も思い悩んでいる実態が浮かび上がってきたという。
また、複数のカード会社と契約している加盟店にしてみれば、カード会社ごとに異なる手順に対応しなければならず、いたずらに混乱を招くという懸念も浮上している。
「個人情報保護法対応の際もそうだったが、加盟店は異なる複数の質問表に対応しなければならず、これから混乱が始まる恐れがある」(森氏)
残念ながら「セキュリティ対策にはコストがかかる。一方で、なかなか売上につながらない」という経営者の意識も相まって、なかなかスケジュール通りには対策は進んでいないという。
「非保持化したから他の対策は不要」は大間違い
加盟店のセキュリティ対策を巡っては、もう1つ重要なポイントがある。カード情報の非保持化を行ったからといって、他のセキュリティ対策ーーエンドポイントの保護やネットワークセキュリティ、Webサイトセキュリティーーはしなくてもいい、とは決してならないということだ。
背景には、不正アクセス手法の高度化がある。
これまで、加盟店のシステムに保存されたクレジットカード情報を盗む手口としては、Webアプリケーションの脆弱性を突いて外部から不正にコマンドを入力し、システム内に保存された個人情報を盗み取る方法が多かった。だから、そもそも自社で保有する機器・ネットワークにおいてクレジットカード情報を「保存」「処理」「通過」しなければ大丈夫……というのが、非保持化が提唱された背景にある。
だが、残念ながら「攻撃と防御はいたちごっこ」。攻撃者側はこうした対策を見越して、新しい手口を使い始めた。
たとえクレジットカード情報の非保持化をしていても、決済処理のためには購入客のカード情報をPSP側が何らかの方法で受け取る必要がある。
そこでJavaScriptを用いてカード情報を送信したり、いったん決済代行業者のサイトにリダイレクトさせる、といった方法が実行計画では提唱されている。
攻撃者はこの部分に目をつけた。Webサイトやアプリケーションの脆弱性を突いてJavaScriptを改ざんしたり、リダイレクト先を偽サイトに変えてユーザーを誘導するといった手口でクレジットカード情報を盗み出す事件が、残念ながら最近、国内の複数のオンラインショップで発生している。
森氏はこうした状況を説明し、「『非保持化、イコールPCI DSS対応はしなくていい』ということだけが一人歩きししてしまい、他のセキュリティ対策はしなくてもいいと受け止められがちだ。しかし実行計画には、非保持化以外のセキュリティ対策も実施すべきと明記されている」と述べ、包括的な対策の必要性を訴えた。
セミナーでは他の登壇者も、「非保持化したからといってセキュリティ対策を実施しないと、ハッカーにやられ、お客様のクレジットカード情報が盗まれる恐れがある。自分のWebサイトが改ざんされていないかを確認することも、加盟店の顧客に対する責任だ」「過去の経験から言っても『非保持化したから大丈夫』ではなく、非保持化した上でどこにリスクがあるかを特定し、対応し、セキュリティレベルを上げていく必要がある」と述べていた。
急増する新たな攻撃手法に2つの方向から対策するトリップワイヤ
非保持化したからといって、PCI DSS取得をにらんだ底上げや他のセキュリティ対策はしなくてもいい、ということにはならない。トリップワイヤ・ジャパンでは、そうした対策を支援するツール「Tripwire Enterprise」を提供している。
この日のセミナーで講演を行ったトリップワイヤ・ジャパンの落合氏(シニア・テクニカルマネージャー)「確かにWebサイトの改ざんは非常にインパクトがあるが、そもそも改ざんを受けた時点でさまざまな不正をされる恐れがあり、非常にクリティカルな事態だ」と述べ、カード情報漏洩の大きな原因となっているWeb改ざんを検知するとともに、改ざんに至らないようセキュリティを高く保つことが重要だとした。Tripwire Enterpriseはその両方の対策を支援するという。
かつてApache Struts2の脆弱性(S2-045)が示した通り、ひとたび深刻な脆弱性が公になれば、わずか数日でそれが悪用されることもある。攻撃者による侵入を防ぐには、速やかに、スピード感を持って脆弱性に対応する必要があるが、対応すべき脆弱性は増加の一途をたどっているのが実情だ。また、パッチを適用してWebサイトに障害が起きてしまうと売上に大きな影響が出ることから、対応が先伸ばしされ、リスクが高まることも珍しくない。その上、セキュリティ人材不足は深刻だ。数十台、数百台ものシステムについてパッチを適用すべき対象を洗い出して適用作業を行い、間違いなく更新されているか確認するのは非常に神経を使う作業だ。
落合氏は「こうした部分にTripwire Enterpriseを活用することで、容易に侵入されないための対策実施頻度とクオリティを高め、作業に要する時間とコストを下げてほしい」と呼び掛けた。
Tripwire Enterpriseのポリシーマネージャーでは、導入されているアプリケーションの確認手順を定義することで、対象アプリケーションに脆弱性が確認された際に、どこに対象ソフトウェアがインストールされているか、そのうち深刻な脆弱性を含み、対策の必要性があるものは何台かなどを一元的に把握できる。さらに、パッチを適用するか、それとも副作業を考慮して一時的に落とすだけにするかといったアクションも選択可能だ。「導入するアプリケーションの脆弱性対応は不可避であり、いつでも容易に確認が可能な仕組みの導入は必要不可欠である」(落合氏)
ただ、こうしてセキュリティを高く保っていても、ゼロデイ脆弱性が発覚し、攻撃が対策の網をすり抜けてくる可能性もある。そこで、Web改ざんなどの異常を早期に発見するもう1つの対策が重要になってくると落合氏は説明した。
改ざんという最悪の状態に至る前に、侵入者はシステムに何らかの変更を加えることが多い。「Tripwireはこうした意図しない変更を検知し、侵入に対する最後の砦として重要な役割を果たす」(落合氏)
セキュリティ製品導入時に多い悩みが、誤検知への対応だ。すり抜けを減らしつつ誤検知も減らすのは難題だが、Tripwire Enterpriseは、エージェント型の監視とエージェントレスの監視、スケジュールに基づく監視とリアルタイムモニタリングを組み合わせ、「例えばWebサーバの設定ファイルは常に監視する一方で、頻繁に変更されるコンテンツは一定周期でスキャンするといった具合に、複数の方式を組み合わせて変更監視を行える。ガチガチに固めてしまうのではなく、バランスのとれた対策を実現する」と落合氏は説明した。
さらに、エージェントレス型監視を活用すれば、ルータなどのネットワーク機器やIoTデバイスに対する監視が可能なほか、AWSやAzureといったクラウド環境にも対応していることを紹介。改ざん検知後も、即座に修復するだけでなく、証拠を残しつつ停止させるといった柔軟なアクションをとれることに触れ、Web改ざんというクリティカルな事態への対処を支援するとした。
JCDSC事務局の森氏はセミナーの最後に、追加アンケートの結果を紹介。加盟店に対し「非保持化以外のセキュリティ対策を講じているか」を尋ねるカード会社はまだ多数派とは言えないが、「『非保持化しました』という回答で安心してしまい、JavaScriptを改ざんされてカード情報を盗まれてしまうケースが多い。非保持化以外のセキュリティ対策はとても大切であり、JCDSCとしてはきちんと尋ねることを推奨したい」と述べた。
 |
|
| 森 大吾 氏 | 落合 裕二 氏 |
| 日本カード情報セキュリティ協議会(JCDSC) |
トリップワイヤ・ジャパン株式会社 シニア・テクニカルマネージャー |
