Trustwave のレポートによると、クレジットカードやデビットカードの POS 決済処理デバイスは、特に中小企業の間でセキュリティ管理が緩いために、サイバー犯罪者の格好の標的になっていることが判明しています。
アメリカン・エキスプレス、ビザ、マスターカードなどの企業のために決済カードの侵害を調査するトラストウェーブは、2010年にデータ侵害に関する調査を世界中で220件実施した。それらのケースの大部分はPOSデバイスの脆弱性に起因するものだった。
Trustwave の 2011 年グローバル セキュリティ レポートによると、「POS システムは多くの標的となり、よく知られた脆弱性があるため、犯罪者がクレジットカード詐欺を実行するために必要なデータを入手する最も簡単な方法であり続けています。」
POS デバイスは、アカウント情報が含まれるカードの裏面の磁気ストライプを読み取り、支払い処理のために送信します。
決済アプリケーションデータセキュリティ標準(PA-DSS)など、開発者がデバイスに使用すべきセキュリティ管理のルールは存在するものの、「これらの管理が適切に実装されることはほとんどない」とTrustwaveは述べている。
さらに、多くの中小企業はPOSデバイスのサポートをサードパーティのインテグレーターに依存しています。しかし、これらのインテグレーターはセキュリティ対策が不十分な場合が多く、Trustwaveによると、調査対象となった侵害事例の87%において、インテグレーターがオペレーティングシステムやリモートアクセスシステムのデフォルトの認証情報を使用するなどのミスを犯していたとのことです。
「私たちの経験では、多くのPOSインテグレーターはセキュリティのベストプラクティスに精通しておらず、顧客を攻撃の危険にさらしていることが多い」と報告書は述べている。「例えば、私たちの調査では、デフォルトパスワードの使用やシングルファクターリモートアクセスソリューションなど、基本的なセキュリティ管理に関する欠陥がしばしば発見される。」
Trustwaveによると、POSデバイスはカードからアクセスできるデータがより完全であるため、サイバー犯罪者にとって魅力的な標的となっている。例えば、eコマースウェブサイトへの攻撃では、クレジットカード番号とカードの有効期限が取得される可能性がある。これらの情報は、物理的なカードや磁気ストライプを一切見ずにウェブサイトで商品を購入するなど、いわゆる「カード非提示型詐欺」にのみ利用できる。
しかし、POS デバイスは磁気ストライプ全体を収集するため、たとえばその情報をダミー カードにエンコードして ATM マシンや小売店で使用できるようになります。
小売業者は、カード業界が策定したベストプラクティスの規範であるPCIデータセキュリティ基準(PCI-DSS)への準拠を強化しています。この基準では、例えば、POS端末への磁気ストライプデータの保存を禁止し、暗号化の使用を義務付けています。
しかし、2010 年に Trustwave は POS アプリケーションを標的とした新たなマルウェアを発見しました。そのうちの 1 つは、暗号化されたデータを抽出する機能を持っていました。
「POS 特有のマルウェアは、これまで確認された中で最も高度なマルウェアであり、POS アプリケーションの動作に関する深い知識を必要とする点で、2009 年に確認された ATM マルウェアに類似しています」と Trustwave は述べています。
PCI-DSSは北米とヨーロッパでは定着しているものの、「他の地域ではこれらの規制が定着し始めたばかりだ」とTrustwaveは述べている。「例えば、ラテンアメリカとアジア太平洋地域は、データ侵害の特定と認知において世界の他の地域に比べて依然として遅れており、攻撃者の行動に対抗する世界的な取り組みに悪影響を及ぼしている。」
ニュースのヒントやコメントは[email protected]までお送りください。
