◇MYNOSMYNOS-201 2014 年 4 月号月号- 店舗の POS レジから本社の顧客情報が漏えい ~ 米国ターゲット社の被害に見る POS レジの危険性 ~ 2013 年の暮れ、米国大手量販店が店舗の POS 端末からハッカーが侵入、本社サーバーから クレジットカード情報などの顧客情報約 4000 万件が漏えいするという、ほぼ史上最悪レベルの 事件が発生しました。 デパートやスーパー、量販店などで当たり前に使われている POS レジですが、店舗の POS レ ジのセキュリティを強化しないと、日本でも同様の手口による危険があります。 ■店舗の POS 端末がマルウェアに感染して本社サーバーへ 被害に遭ったのは、米国ディスカウントストア大手・ターゲット社です。クリスマ ス商戦でにぎわう 2013 年 11 月 27 日から 12 月 15 日までに、ショッピング客が 米国内の店舗で利用した、クレジットカードやデビットカード情報 4000 万件、 および 7000 万人分の顧客の氏名、住所、電話番号、メールアドレスなどの個 人情報も流出しました。 国内店舗の POS 端末が、マルウェア(ウイルスを含む悪意のプログラム)に感 染し、本社サーバーまで侵入されたというものです。 なぜ店舗の POS 端末から、マルウェアが侵入したのか、これまで捜査当局に より判明した原因は、店舗の POS レジスターに、マルウェアがインストールされ ていたということです。米国国土安全保障省系の情報セキュリティ対策組織 (US-CERT)によると、POS システムへマルウェアを仕掛ける手口は、米国内で はすでに横行しており、注意が呼びかけられています。 ■日本国内のデパート等も要注意 ハッカーの単独犯行によって、店舗の POS レジに細工がされたのか、それと も店舗の従業員も共犯となって、レジにインストールできるようにしたのかは、 捜査中です。しかし日本国内でもデパート、スーパー、量販店など、多くの店 舗を展開して、クレジットカードによる代金決済を取り扱っている企業にとって は、同様の手口で POS レジからマルウェアに侵入される危険に、備えるべきで しょう。要点を次にまとめます。 ■POS レジはパソコンと同じくコンピューターのひとつ POS レジというものは、Windows OS 上でアプリケーションを動作させるなど、 パソコンとほぼ同じ機能を備えています。処理ソフトウェアのバージョンアップ に対応できるように、パソコンと同じく USB メモリーを接続して、更新プログラム をインストールすることができます。逆にいうと、USB メモリーなどの外部デバイ スで、マルウェアが侵入する可能性もあるのです。今後は Windows ベースでな く、よりセキュアな OS を使用する POS 機器も必要と思われます。 POS レジには、インターネットや専用回線を使って、本社のシステム部門から、 更新プログラムを送り込むことができるものがあります。このように POS システム というものは、ネットワーク上に多くのパソコンが連結されているのと、同じであ ることを、経営陣は認識しておく必要があります。 ■インターネット接続やメールの送受信もできる POS レジ POS システムは、コンピューターや端末に接続されていて、インターネットや メールにアクセスできる機能を備えているものもあります。各店舗の POS レジが、 マルウェアの仕込まれた電子メールを取り込んだり、不正な Web サイトにアク セスしたりして、マルウェアが入り込んでしまう可能性があります。 したがって、ネットワークシステムに接続するパソコンと同じく、最新のウイル スチェックを定期的に行ったり、マルウェアによって POS アプリケーションが所 定外の動作をしていないかを、監視したりする対策が必要です。 そのためにも、店舗へ導入する POS レジやカード決済端末は、国際セキュリ ティ基準の PA-DSS に準拠済みの製品であることが求められます。 ■カード情報は POS レジに保存されていないはずだが POS システム内に入り込んだマルウェアの中には、クレジットカードの磁気ス トライプに記録された情報を抽出して、外部へ送信してしまう機能を持つもの があります。 多くの POS レジは、クレジットカードの磁気情報を本体に保存しない仕組み になっているにもかかわらず、買い物客のカードが読み取り装置に通され、メ モリー上にある瞬間に、その情報をハッカー組織へ送信してしまう能力を備え ているマルウェアが、開発されています。 そのためにも、POS レジやカード決済端末の、カード情報読み取り装置は、 国際セキュリティ基準の PIN PTS に準拠済みの機器であることが求められま す。 ■本社からのリモートによるバージョンアップは要注意 POS システムに対して、デフォルト(初期設定)のログイン情報を使って、リモ ートでマルウェアを送り込む手口があります。したがってデフォルトのパスワー ドを複雑なパスワードに変更することや、許可された従業員同士でも共通のパ スワードを使用しないこと、POS ソフトウェアを確実にアップデートしたり、最新 のパッチを当てたりすること、ファイアウォールやウイルス対策ソフトを使用する こと、POS システムや端末へのアクセスを確実に制限することなどが必要で す。 また、無線 LAN から入り込む手口も考えられるので、会社が承認していない 無線アクセスポイントが存在していないかの検査も、定期的に必要です。リモ ートアクセスは管理者にとって便利なのですが、リスクがあるので、無効にして しまうことも検討が必要でしょう。 ■データを暗号化してもメモリー情報から盗まれる 本社サーバーのデータベースで保管する顧客情報やクレジットカード情報 には、暗号化を施すのが常識です。万一データが漏えいしても、暗号化され ていればハッカーは読み出すことができないからです。 ところがターゲット社のケースでは、実害が発生しています。前述のようにそ のマルウェアは、POS 上のメモリーに一時的に残る、暗号化される前の情報を 取り込んでいたようです。 したがって、カード情報は読み取りリーダーを通した時点で暗号化してカギ をかけ、決済センターに送る仕組みになっている必要があります。POS をその ようなデバイスに変更することができれば、セキュリティはかなり向上すると考え られます。 また、データベースを暗号化していれば良いわけではなく、アクセスコントロ ールも含めた対策が必要です。それは POS 機器やツールだけの問題ではな く、カードデータの扱いそのものを含めた、組織的なポリシー整備、カードを取 り扱う従業者への人的対策など、総合的にセキュリティを整えることが大切で す。 ■カード決済は POS レジと別の端末が安全との考えも POS レジスターで売り上げ品目から現金収受、そしてクレジットカード決済ま で、すべてを1台でワンストップ処理のできる仕組みは、確かに便利なのです が、その代わりにパソコンの能力を備えていることが要求され、リモートや USB で設定する機能が加わり、マルウェアが侵入する余地ができてしまう可能性が あります。 そのリスク分散として、現金管理と売上品目の管理は POS レジに担当させる 一方、クレジットカード決済は単独の端末装置に任せるほうが、安全を図りや すいという考え方もあります。 いずれにしてもクレジットカード・セキュリティ基準の PCI DSS に沿って、店舗 および本社システムをチェックし、総合的なセキュリティ体制を確立することが 肝要でしょう。 解説:ソリューション営業本部 森 大吾 資料:日本カード情報セキュリティ協議会(JCDSC)
© Copyright 2025 Paperzz
