いま海外で数多く報告されている対面加盟店でのクレジットカード流出事件とは？ 〜米国での大規模な流出事件に学ぶ新たな傾向〜

■ 頻出する日本国内でのカード情報の流出事件

2013年の国内のカード会員データの流出事件の件数は、過去最高であったのではないであろうか？国内のいずれの事件の傾向も、ECサイトやサービスの申し込みサイトなどの加盟店をインターネット経由で攻撃しデータを抜き取る、もしくはバックドアを仕掛けてクレジットカードのオーソリ（クレジットカードの利用承認処理）の度にデータを外部に流出させるというものである。
ほぼ全てのケースが非対面加盟店からの流出であり、また中小規模の加盟店ではセキュリティ対策が不十分である場合が多く、SQLインジェクション攻撃による被害もまだまだ継続している。

■ 対面加盟店がターゲットにされるケースとは？

日本の大型の対面加盟店の方から「日本の対面加盟店で大規模なカード情報漏えいの事件がありますか？」という質問をよく受ける。確かに公表されている中で大規模なものは、国内では発生していない。その一方、近年の米国におけるカード情報漏えい事件の傾向を見ると、大型の流通チェーン等の店舗で大規模なものが増加している。例えば2013年末に発生した全米で1,800店を展開する「Target」で4,000万件のカード情報の流出が報じられた。原因の詳細は定かではないが、店舗のネットワークを経由しシステムに侵入され、長期間にわたりカード会員データが流出していたとのことである。一説によると空調の管理システムから侵入されたという。

米国でこのような傾向が増加するため、日本でも今後対面加盟店での事件発生が懸念される。米国で対面加盟店が狙われる理由は、ほとんどの店舗ネットワークにWi-Fiが利用されているためであるという。Wi-Fiの暗号通信の脆弱性をついて店舗ネットワークに侵入され、店舗サーバや本部で処理、保存されているカード情報が流出しているケースが多い。日本では店舗ネットワークではあまりWi-Fiが使われていないので比較的安全だという方がいるが、果たしてそうであろうか？昨今大半のPOSレジにはWi-Fiのインターフェースが搭載されており、使用していないので、機能をOFFにしているはずが、意図せずONになっていることも考えられる。また使用されているファームウェアが古く、WEPなど既に解読が容易になっている暗号方式のみに対応したバージョンを使用している場合もある。（PCI DSSでは既にWEPの使用は禁じられている。）国内でも在庫を管理する店舗サーバへの接続にWi-Fiを使用されているケースもあり、在庫システムと決済システムのネットワークが必ずしも物理的に切り離されているとは限らない。

■ 進化し続ける悪質な手口に対し、適切な対策を。

また米国やオーストラリアでは店舗を舞台にしたカード情報流出事件も手口が進化している。例えば保守員を装ってクレジットカードのターミナル端末を、バックドアを仕掛けたものに交換して、決済されるカード情報を意図しない外部に送信させるなど大胆な手口もある。また店舗の有線ネットワークの配線が煩雑で、小型のWi-Fi装置が不正に取り付けられているのに気づかず、そこから侵入されたり、ネットワークに流れるカード会員データを外部に送信されたりするケースもあった。
直近の米国やオーストラリアのクレジットカード情報流出事件の傾向を鑑みると、日本でも大型の流通チェーンやコンビニなども対面であるがゆえに安全であるとはいえない。海外における手口を研究し、今一度対策に抜かりがないかを点検してもらうことをお勧めする。
PCI DSS Ready Cloudでは、PCI DSS v4.0への効率的な移行支援及び準拠を促進するクラウドサービスを提供しています。
是非一度、ご相談ください。
PCI DSS準拠を促進するクラウドサービスならPCI DSS Ready Cloud

■ PCI DSS の構築、維持・運用にかかるコストと工数を削減する
 
■ AWSでの開発事業者や外部ベンダー/事業者との専用線接続がない場合に最適
 
■ 国内トップクラスのPCI DSS専門のコンサルタント集団によるPCI DSS準拠支援サービス