金融関連や小売業に従事する多くの企業は、クレジットカード取引のセキュリティ改善の取組みを続けているにも関わらず、情報漏えいのニュースは絶え間なく私たちの耳に入ってきます。
金融機関は不正な購入やその調査に関連するコストを抑えるためセキュリティに関する改善を望んでいます。利用者は、クレジットカード犯罪に関する報告や煩わしい管理などが必要なくなるように事業者に改善を望んでいます。小売業者は事業発展のために顧客を維持し、ユーザが商品を購入しやすくなることを望んでいます。
今回の記事では、小売事業者によるデータ保護の取組みを検証し、顧客を保護するための新しい手法に関してご紹介します。
保護に関する取組み
2015年10月は、アメリカの全てのクレジットカード加盟店がEuropay、MasterCard、VISAの ICカード(EMV)を実装する有効期限です。
EMVの背景にある意図はカードデータを安全に保存するIC内蔵チップを備えたカードを使用してクレジットカード犯罪を減少させることであります。また、さらに強固なセキュリティを実装するため、取引時に利用者は個人識別番号 (PIN)の入力が必要な場合もあります。その一方ですでにEMVを実装しているヨーロッパでは長期にこれらを実装していますが、カード利用取引における詐欺が減少傾向にあるという状況でもあります。
EMV導入は、顕在化しづらい問題も含んでいます: クレジットカード犯罪に対する責任が金融機関やカード発行者から失われ販売事業者の責任が増加しているのです。
EMVは利用者に対する保護を強化していますが、小売業者にとってはそれに付随する様々な問題を抱えることにつながっています。小売業者が利用するPOSシステムには、EMVデータが入るため、それらを保護する必要性がでてきます。そのため追加のセキュリティ投資コストが発生するでしょう。また、EMVはクレジットカード犯罪をカードが必要でないオンライン取引にシフトさせ、オンライン決済手続を行う全ての企業に対するリスクが増加しています。
PCI DSSの最新版である3.1では、クレジットカードの利用に同意する小売業者にデータ・イン・トランジット用に、より強力な暗号化が要求されています。しかし、小売業者にとっては芳しくないことに、店舗のサーバに対応するPOS機器、POI機器に対応するPOSアプリケーション、決済アプリケーションならびに決済ゲートウェイに対応する決済アプリケーションのような、POSデータを通過する機器などに関してこの要求は明確ではありません。決済手続ネットワークのこれらの部分は多様なサイバー攻撃を防ぐ手立てがありません。
世界のクレジットカードデータの大半がPOSシステムを通過している背景からこれらのデータ保護はきわめて重要になってきています。POSシステムはカード所有者の情報を収集し決済のためにそれを送信する専用の機能を有する特別な目的のために設けられたシステムです。そのため、POSシステムがデータを未承認のソースへと転送された場合、それは悪意のある行動と判断するべきでしょう。多くの攻撃者がデータを抜き取り、自らの希望するリポジトリにそれを移動しています。-それが承認されたネットワークの内側にあっても、後に外側に持ち去られる可能性すらあります。
POS機器の機能は単純に思われますが、これらの機器に対し影響を与える広範にわたるサイバー攻撃の要素が存在するのです。実際問題として、POSマルウェアが広まり、以下を含む何百もの情報がブラックマーケットで幅広く入手可能となっています:
- POS機器内に潜みながら、カードデータを標的とする (Alina [トラッカー]、MalumPoS、vSkimmer [Dexterの後継]、BlackPOSといった) マルウェア
- POSプロセッサに潜り込みながらカードデータを標的とするマルウェア
- POSサーバー上でカードデータを標的とするマルウェア
技術的な観点では、これはデータが決済プロセスの複数の時点で盗まれる可能性があるということです: それは物理的な機器であると同時に、決済データを移動するのに利用されるネットワークを横断するものでもあり、また、決済プロセスを実行するアプリケーションにより、決済データが含まれる物理的システム中の脆弱性を通して加工されているのです。
同業界が最高と認定したサイバーセキュリティ・コントロール (20 CSC又はPCI controls) に加え、加盟店はPOSネットワークを標的とするマルウェアに対抗するための専用のPOS保護機構の導入を検討しなければならないでしょう。
これらの実装は繁忙期に対処する際に特に当てはまることです。ホリデーシーズンにおいては、多くの販売業者がそのネットワークやPOSシステムを「フリーズ」し、取引量の劇的な増加に対応するための高い性能ならびに信頼度を保証しています。残念ながら、サイバー犯罪を行う者はネットワークのフリーズを把握しており、それを自らのために利用しているのです。彼らが決済システム又はネットワーク中に利用できる脆弱性を発見することが可能であれば、そのサイバー攻撃が検知されない限りにおいて、買い物時期となる長期のホリデーシーズンに、価値の高いクレジットカードのデータをこっそり盗み出す機会を得ることになるのです。
POS保護に特化した製品の提供
POSシステムのセキュリティは汎用的なものではなく、独自のセキュリティ課題が存在します。これらに対応するために私たちはTripwire Enterpriseで独自のPOSに関する脅威検知および予防ルールを作成しました。これらのルールはメモリスクレイピング、ネットワークスニッフィング又は決済データの持ち出しに関連のあるネットワークの変更といった、POSマルウェアの最も伝染性の高い形態と関連のある、特定のPOS攻撃行為を検知します。
POSマルウェアは絶えず変形しているため、これらの攻撃を検知することは、特定の行動を基準とし、多くのウイルス対策製品のような単一のファイルシグニチャを基準とするものではりません。これらの特定のPOSルールに加えて、Tripwire Enterpriseは、悪意を探査することを目的として、POSシステムが変化しないかの監視も行うことが可能です。
POSサイバー攻撃の早期検知は販売業者が直面する最も困難な問題の1つです; 2015 Verizon Data Breach Reportは、販売業者のPOSに対する攻撃は検知するだけで通常で数週間から数ヶ月を要するとしています。
Tripwire POS Threat Protection のルールならびにポリシーにより、POS攻撃の発生と同時にこれを検知することが可能であり、大きな被害を受ける可能性を劇的に低下させ、リカバリーの時間を縮小させます。POS攻撃と検知の間の時間は、加盟店にとっては致命的な問題です。サイバー攻撃者が決済ネットワーク上に長期間滞在すればするほど損害は大きくなります。
POS機器は今後も、加盟店が保護しなければならないたいへん重要な設備です。サイバー攻撃は常に身近にあることを考えるとPOSの保護は、加盟店にとって重要なミッションなのです。これらの設備を保護する新たな手法を調査することが、加盟店として行う業務の一部となっています。
加盟店の方々へ、Tripwire POS Threat Protectionに関してより詳細な情報をご確認ください。デモンストレーションもご確認いただければ幸いです。
消費者の方々へ、加盟店に導入されているPOS管理の種類についてお問い合わせください。- 結局のところ、リスクに晒されるのはあなたのクレジットカードなのです。
元の記事はこちらからご覧いただけます。
