カード情報が平文で通信されるシステム | PCI DSS Ready Cloud

2017.04.28

カード情報が平文で通信されるシステム

  • このエントリーをはてなブックマークに追加
小売店に、ほぼ必ず設置されているPOSレジ。これにマルウェアを感染させ、クレジットカード情報を盗み出すという事件が海外を中心に急増している。ただ国内で現在確認されているカード情報流出の被害は、1件(2017年2月現在)のため、日本の小売業や消費者にはまだ重大性は意識されていないようだ。

POSレジのメモリ上のデータが盗まれる

トレンドマイクロによると国内でも2016年1-3月には31件のPOSマルウェアの検出が報告されており、前年同時期の約5倍になっているという。今後も被害が増加する可能性を示しているといえるだろう。

POSマルウェアのうち、第1回で紹介した「RAMスクレイピング」というメモリ上に平文で展開されるカード情報を盗み出す手法の前には、現在の国内のPOSレジやPOSサーバの環境は非常に脆弱である。

fjコンサルティング瀬田陽介氏によると、「大半の大手小売店は、POSレジに内蔵された磁気リーダーでカード決済などの処理をしています。POSの機能は業務効率化の観点で進化した形ですが、逆にセキュリティ対策を困難にしています」と解説する。

小規模な店舗では、レジとは別にCCT(共同利用端末)などの決済専用端末でカードを処理しており、IC対応も進んでいる。この場合、カード情報は決済専用端末で暗号化され、加盟店内では復号化されず、データ処理をするプロセッサに直接送信される。原則POSレジとの間ではカード情報のやりとりをしないため、決済端末に侵入されない限り、POSマルウェアの被害はないはずだ。

しかし、POSレジ一体型の磁気ストライプ処理は、暗号処理の前に一旦は必ず平文でカード情報を読み取り、そのままPOSレジのメモリに展開される。RAMスクレイピングの標的となる。POSマルウェアによってカード情報をRAMスクレイピングされないようにするためには、まずカードリーダーのIC化を進める必要がある。ただし決済端末がIC化されても磁気のみのカードを持ち込む消費者がいる限り磁気ストライプの読み取り処理はなくならない。

すべては暗号化されていない

瀬田氏が指摘するのが、そのようなPOSレジの多くがWindowsベースで動作している点だ。「国内の大半のPOSレジのOSはWindows Embeddedを使用しています。カーネルを含めたソフトウェアの基本構成は、オフィスで使用しているWindowsと同じなので、比較的マルウェアが作りやすい環境にあります。しかもPOSレジはオフィス内のPCと違いセキュリティパッチを頻繁にあてるという習慣がないのが現状です」(瀬田氏 以下同じ)。
要はマルウェア被害がオフィス環境よりも発生しやすいということである。このような環境下のPC(POSレジ)上でカード情報を平文で取り扱うことがいかに危険なのかはお分かりいただけただろう。

磁気ストライプ取引の安全性を高める対策としては、POS内蔵のカードリーダーではなく、小規模店舗と同様な独立した決済専用端末でカード情報を処理することが必要である。決済専用端末はPCI PTSという端末セキュリティの認定を受けている場合が多く、POSレジのOSやメモリで扱うよりはるかに安全性は高い。

第1回で紹介した通り、POSマルウェアのRAMスクレイピング攻撃は、PCI DSSのセキュリティ基準をクリアしていても防げないといわれている。PCI DSSは、POSレジのHDDなどカード情報の保存領域の暗号化は求めているが、メモリの暗号化までは求めていない。また通信経路については公衆ネットワーク(インターネットやWi-Fiなど)経由でカード情報を送信する際には暗号化が求められているが、店舗と本部間の専用線やデータセンター内ネットワークであれば暗号化は必要ない。

すなわち、PCI DSSに準拠している小売店でも、店舗内の有線ネットワークの通信を傍受されれば平文のカード情報を抜き取られる可能性がある。このような背景から米国ではすでにPCI DSSはカード情報を取り扱う企業を守る「最低限の基準」という位置付けになっており、その上で組織が自身を守る管理策を独自に追加していくことが必要とされている。

磁気ストライプ情報の価値

POSマルウェアのRAMスクレイピングで情報を抜き取る場合は、16桁のカード番号や有効期限のみならず、全磁気ストライプ情報を盗み出すことができる。カードの全磁気ストライプ情報はフォーマットがISOでも定義され、単純な正規表現を利用すればメモリ内での検索が容易である。

一方でインターネット加盟店に侵入してカード情報を抜き取る場合は、基本は16桁のカード番号や有効期限しか盗めない。あわせてセキュリティコードが流出することはあるが、カードの全磁気ストライプ情報が流出することはない。全磁気ストライプ情報は、国際ブランドの厳しい要請及びPCI DSSの基準でも保存禁止データになっている。偽装カードを簡単に作成できてしまうからだ。

よってブラックマーケットでもカード番号と有効期限だけの情報と比較し、全磁気ストライプ情報は数倍の価格で取引されているという。犯罪者にとってインターネット加盟店に侵入するよりも、POS加盟店を攻撃してカード情報を盗む方がはるかに効率がよい。

その対策は?

それではPOSマルウェアによる被害を防ぐために、小売店はどのように対策すればよいだろうか? 「POSレジ内部でカード情報を平文に戻さず、ポイントツーポイントで暗号化しておくようにすればいいのです。加えて、使い捨てのワンタイム暗号鍵を使うようにすれば、たとえ途中経路の通信が傍受されたり、トランザクション用の暗号鍵が流出しても、カード情報を平文に戻すことはできません」。

この仕組みの基準がPCI P2PE(Point to Point Encryption)と呼ばれるものだ。今後、POS加盟店はこの基準に準拠した決済端末やプロセシングサービスを採用することが鍵となる。(牧野 武文氏:2017/3/9)
(その3に続く)

PCI DSS Ready Cloudでは、PCI DSS v4.0への効率的な移行支援及び準拠を促進するクラウドサービスを提供しています。
是非一度、ご相談ください。
PCI DSS準拠を促進するクラウドサービスならPCI DSS Ready Cloud

■ PCI DSS の構築、維持・運用にかかるコストと工数を削減する
PCI DSS Ready Cloud マネージドモデルはこちら
 
■ AWSでの開発事業者や外部ベンダー/事業者との専用線接続がない場合に最適
PCI DSS Ready Cloud AWSモデルはこちら
 
■ 国内トップクラスのPCI DSS専門のコンサルタント集団によるPCI DSS準拠支援サービス
PCI DSS準拠支援コンサルティングはこちら
 
【関連記事】
PCI DSSとは?準拠が必要な企業とセキュリティ対策をガイダンス
【動画付き】PCI DSS バージョン4.0の特徴や変更点を解説

この記事が気に入ったら
いいね!しよう

PCI DSS 関連の最新記事をお届けします

  • このエントリーをはてなブックマークに追加