Verizon 社の 2016 年データ侵害調査レポートによると、小売業界の重要なインフラストチヤである POS に対するセキュリティの侵害が相次いで発生しています。小売業は POS に依存する業界であるにもかかわらず、POS 関連のデータ侵害の割合では、宿泊・接客業界が 95%でワースト 1 でした。(小売業界の POS 関連のデータ侵害の割合は 64%)
データの流失が確認されたセキュリティインシデントの発生率においては、小売業と宿泊業の両方がワースト 5 に入っています。レポートでは説明されてはいませんが、それらの 5 つの業界に対する攻撃の標的が決済データであることは明らかです。ヒルトンホテルやトランプホテルのインシデントがヘッドラインを賑わせていることがそれを裏付けています。
ハッカーにとって、決済カードのデータは人気のアイテムです。残念なことに、攻撃者らはそれらのデータをますます貪欲に収集しています。その勢いが増したことにより、需要と供給の関係で、決済レコードの値段は 2011 年の 25ドルから 6 ドルにまで急落しました。
嘆かわしいことに、POS の侵害の 63%は、弱いパスワードやデフォルトのパスワードを使用した、あるいはパスワードが盗まれたことが発端で発生しています。これでは、玄関のドアを開けっぱなしにしているようなものです。
これに対し、PCI 3.2 は、POSデバイスを含むカードデータ環境(CDE)で多要素認証を使用するよう求めています。この要件がハッカーの活動を停滞させるかもしれません。
POS を標的としたマルウェアの最も一般的なふるまいは、RAM スクレイピング、データのエクスポート(FTP)、コマンドセンター、バックドアです。
深刻な問題を引き起こしかねない RAM スクレイピングマルウェアに MalumPOS があります。他のマルウェアと異なるのは、適応・再構成が可能で、特定のターゲットに合わせて簡単にカスタマイズできるという点です。Trend Micro が注意喚起しているように、Radiant や NCR Counterpoint のような人気のある POS システムは用心すべきでしょう。
ソース:Verizon DBIR 2016、P33
Verizon のレポートでは、MalumPOS のような脅威への対抗手段が次のように紹介されています。
- 最低でも 2 要素認証にすること。
- POS 環境をセグメント化すること。
- POS 環境にモニタリング機能を導入すること。
POS 環境を保護するためにできることは他にもあります。Tripwire Enterprise では、POS へ悪質な攻撃を検知し防御する POS 専用のルールを提供しています。451 Research 社は、この機能に関する小売業向けのレポートを公開しています。
POS の枠を超えて
今日では、すべての小売業者が Web を利用していると考えて差し支えないでしょう。データ侵害の最大の手口は Web アプリケーションを使用した攻撃です。このレポートでは、Web アプリケーションのセキュリティ侵害の 95%が金銭目当てであったことから、明らかに金銭的な利益が目的であると指摘しています。
E コマースサーバの攻撃では、決済アプリケーションのコードへのアクセスにウェブシェルが使われ、その後ユーザの入力(クレジットカード番号やセキュリティコード)をキャプチャする機能が付加されます。
現在の E コマースの傾向や、このセキュリティ侵害レポートは、小売業者や消費者に警報を鳴らしています。
Verizon 社のレポートに記載されている推奨事項は次のとおりです。
- 単一要素認証ではキーロガー型マルウェアに注意。
- 入力とアップロード時には正当性を確認すること。
- コンテンツおよびサードパーティ製プラグインのパッチプロセスを確立すること。
レポートの推奨事項には役に立つものもあります。しかし、それらが Web サイト上での顧客エクスペリエンスの質にどのような影響を与えるかについては明らかにされていません。たとえば、ある品物を購入する際に多要素認証を導入した場合、それが顧客にとっての負担になり、オンラインショッピング中の自発的な購買意欲を削ぐ可能性もあります。
このレポートは、業界ごとのセキュリティインシデントと侵害など、興味深いデータを追跡しています。
「インシデント:情報資産の整合性、機密性、可用性を侵害するセキュリティイベント
侵害:結果的に、権限のない者へのデータの流出が実際に確認されたインシデント(単に潜在的な流出ではない)」
小売業および宿泊業では、他の業種と比較して、インシデントの発生件数が比較的少なめです。(インシデント件数:宿泊業 362 件、小売業 159 件に対し、金融業 1,300 件以上)このことは、潜在的な脅威を特定しレポートする高度な能力が備わっていないことを示唆しているのかもしれません。
侵害に対するインシデントの割合も、インシデントのうちの多くが実際の脅威となることを示しています。(インシデント件数: 宿泊業 282 件、小売業 137 件)
改善の兆候か
つい最近、Tripwire は 200 名超の 小売業界の IT プロフェッショナルに関する 2016 年の調査を実施し、2014 年の調査結果と比較しました。その結果は、サイバーセキュリティ上の問題に対する対応に改善が見られたことを示すものでした。
Tripwire の 2016 年の調査では、回答者の 90%が重要なシステムへのデータ侵害を 1 週間以内に検知できると回答しました。一方、2014 年では、同じ回答をしたのは 70%でした。
しかしながら、Arbor Networks 社のレポートでは、小売業界では、ネットワーク上の高度な脅威の検知に平均で 197 日かかっていると報告しています。検知に関する自信度が向上したことは良い傾向ですが、実際の状況を反映してはいないようです。2014 年と 2016 年の両方で、回答者の 59%が侵害検知製品の一部または少ししか導入していないと答えました。
小売業界もサイバーセキュリティの増強のために対策を講じていますが、Verizon のレポートは、十分ではないと指摘しています。小売業界における従業員 1 人あたりのセキュリティコストは 169ドルです。他の業種が 326~684 ドルであることを考えると、さらに大胆な増強を行うべきでしょう。
セキュリティの増強がもたらす結果を考えてみましょう。世界全体のデータ侵害によるコストの平均が 2014 年から 2015 年の間に 15%増加して、350 万ドル超となりました(Ponemon 社調査)。Verizon 社のレポートは、この問題に対する優れた知見を提供しています。理解を一層深めて、より確かなプロテクションに活かしましょう。
Title image courtesy of ShutterStock
元の記事はこちらからご覧いただけます。
