狙われるPOSレジからクレジットカード情報流出

2017年4月6日

POSレジにマルウェアを感染させて、クレジットカード情報を盗み出す事件が海外を中心に起きている。国内でクレジットカード情報流出は、GMOペイメントゲートウェイ(GMO-PG)がStruts2脆弱性からクレジットカード情報流出を含め2件(2017年4月6日現在)である。

Ads by Google

Ads by Google

狙われるPOSレジ

多くのPOSレジは内蔵された磁気リーダーでカード決済を行うが、RAMスクレイピングのメモリ上に平文(非暗号化)で展開されたカード情報を盗む方法には無力だ。

クレジットカードのIC化をアメリカンエクスプレスを含めほぼ完了した環境で、今後はカードリーダーのICチップ化が普及する必要があるが未だにクレジットカードには磁気ストライプがありICチップと併用したクレジットカードがある限り被害が減る事は無い。一刻も早く磁気ストライプの無いクレジットカードの普及が急務である。

セキュリティ対策は別サイトを参考にしていただくとして、PCのアップデート同様にPOSレジもパッチの更新と暗号化が求められていないレベルでも暗号化が必要になってくる。

侵入ルート

インターネット加盟店から侵入する手法を用意ても、16桁のカード番号や有効期限に加えてセキュリティコードが流出する事があるが、全磁気ストライプデータの流出にはならないが、POSマルウェアのRAMスクレイピングの場合、全磁気ストライプの情報を取得されてしまう。しかもPOSレジに侵入する方がインターネット加盟店への侵入の方が効率的なのも一つの要因になっている。

POSレジが接続されたネットワークに侵入する方法や店舗内の優先ネットワークや無線ネットワークなどの脆弱性や送信者を偽装して添付ファイルを送信するなど様々な侵入方法がある。だからと言ってPCI DSSを義務化する米国の州も増えつつあるが、クレジットカードに磁気ストライプを使う限りその脆弱性は埋められないのが現状である。

観光立国を目指す日本は、今後も様々な方々が訪日され支払にICチップ化されていないクレジットカードで決済をされるが拒否は出来ない。

サイト POS加盟店におけるPCI P2PEソリューションを用いたPCI DSS準拠(後編)の様にP2PE優れた点が多いが現在のシステムが暗号化されたデータを前提に設計されていないし、カード番号をキーにしてシステムが構築されている為にその意味合いは大きい。

様々な方法が考えだされているが、いずれにしても2020年のオリンピックまでに時間の猶予が少ない。

プリペイドカードとでデビットカード

プリペイドカードはクレジットカード同様に気を付けなければならない、何故ならクレジットカード番号が記載されているからだ。しかもシステムの都合上、国際ブランドがあるものであればプリペイドでもクレジットカードとの区別がされていないのに、カードに署名もなく支払い時には本人確認もパスワードなども不要なサービスにも手軽さ故に問題もある。しかし、同時にメリットもあるが、コンビニ等で入手できる国際ブランド付プリペイドカードなどは、前に触れたようにカードは磁気ストライプベースが実情である。