小売店、ホテル、レストランはすべて、サイバー犯罪者が攻撃を続けている同じ弱点、つまり顧客の支払いデータが日常的に処理されるPOSシステムの被害を受けている。
これらのデジタルレジは、数千、あるいは数百万ものクレジットカード番号を盗むために設計されたマルウェアの標的となることがよくあります。今年は、ファストフードのウェンディーズ、衣料品小売のエディー・バウアー、そしてキンプトンホテルが、こうした攻撃によるデータ侵害を報告しました。
しかし、セキュリティ専門家は、POS関連の侵入から企業を守るために、様々なアプローチを推奨しています。以下にいくつか例を挙げます。
監視
POSマルウェアは様々な方法で攻撃を仕掛ける可能性がある。セキュリティプロバイダーであるNetsurionのCISO、ジョン・クリストリー氏によると、多くの場合、ハッカーは決済処理システムを維持するために設計されたリモートアクセスサービスに侵入し、悪意のあるコードを拡散させるという。
これらのリモートアクセスサービスは、推測しやすいパスワードが設定されているなど、設定が不適切である可能性があり、ハッカーが侵入して数百、数千台のPOS端末にマルウェアを拡散させてしまう可能性があります。また、マルウェアの検出が困難なことも問題だとクリストリー氏は付け加えています。従来のファイアウォールが存在するにもかかわらず、マルウェアはウイルス対策プログラムをすり抜け、密かに決済データを抜き出すこともあります。
「その後、盗んだデータを通常のトラフィックに見せかけてゆっくりと送信するのです」とクリストリー氏は述べた。「数ヶ月も経てば、一体どれだけのクレジットカード情報が不正利用されているか誰にも分かりません。」
クリストリー氏は、POSシステムへのリモートアクセスを提供する企業は、パスワードログインのみに頼ることを避けるため、二要素認証の導入を検討できると述べた。しかし、あらゆる脅威をより確実に検知するためには、基本的なウイルス対策やファイアウォールに加え、実際のPOS端末上で異常なアクティビティを監視できるツールを活用することを推奨している。
「すべてのコンピューターを監視し、何も変更されていないことを確認する必要があります」とクリストリー氏は述べた。「夜間にコンピューターが稼働してデータを通信しているかどうか、あるいはファイルが変更されているかどうかも確認しなければなりません。」
これらのツールはこれまでは大手ブランドの小売店向けに販売されてきたが、Netsurion社は中小企業向けにも低価格で提供してきたという。
暗号化
ハッカーはより巧妙なPOSマルウェアの開発を続けているが、盗むのが暗号化されたデータだけであれば、どんなに強力な悪意あるコードでも役に立たなくなる、とヒューレット・パッカード・エンタープライズ・セキュリティの決済担当シニアディレクター、ジョージ・ライス氏は述べた。
通常、POSマルウェアは、小売店のレジでカードがスワイプされた瞬間に決済データを読み取ることで機能します。これは、決済データが暗号化されていない可能性があるPOS端末のRAMメモリをスクレイピングすることで行われます。
「マルウェアの手法は常に進化しています」とライス氏は述べた。犯罪者たちは、小売業者が価格設定や在庫管理のためにPOS端末を絶えず更新していることも理解している。「そのため、ハッカーたちは様々な脆弱性を利用してシステムにマルウェアを仕込んでいるのです」と彼は付け加えた。
しかし、ライス氏によると、エンドツーエンドの暗号化を導入すれば、企業はデータ漏洩に対する脆弱性を大幅に低減できるという。つまり、クレジットカードがスワイプされた瞬間も含め、決済プロセス全体を通して顧客のデータを暗号化するのだ。
「この技術はシステム内のあらゆる抜け穴や脆弱性を塞ぐのに役立つ可能性がある」とライス氏は述べた。
インジェニコ カウンタートップの Ingenico チェックアウト端末。
HPE Securtyは今年初め、企業向けのエンドツーエンドの暗号化製品に関して、決済チェックアウト機器メーカーのIngenicoとの提携を発表しました。
決済データの保護を強化するため、Hewlett Packard Enterprise Securityはトークン化も提供しています。これは、処理済みの決済カードデータをトークンと呼ばれるデジタルプレースホルダーに置き換えるプロセスです。このプロセスと暗号化を組み合わせることで、データ盗難のリスクを軽減できるとライス氏は述べています。
テスト
残念ながら、企業が購入したいPOSシステムを選択する際、セキュリティについて考えることはほとんどないと、IBMのセキュリティテストチーム、X-Force Redの責任者、チャールズ・ヘンダーソン氏は語る。
「ほとんどの企業は、POSシステムを購入する際、安全なものを購入すると考えています」とヘンダーソン氏は述べた。購入者はセキュリティと業界標準への準拠を混同する傾向があるが、必ずしもそうではないと同氏は付け加えた。
ヘンダーソン氏のチームは、POSシステムの脆弱性を定期的にテストしています。多くの場合、企業が業界のコンプライアンスを遵守しているためにシステムが安全だと想定していた段階で、チームが脆弱性を発見します。
さらに、これらのPOS製品の多くは、セキュリティを専門としていないサードパーティの再販業者によって設置されています。これらの要因は企業をリスクにさらす可能性があると彼は述べています。
この問題を防ぐため、ヘンダーソン氏は、企業はセキュリティ専門家を雇用し、POSシステムに脆弱性がないかテストすることを推奨しています。主流のPOSシステム製品のほとんどは、適切な実装によってセキュリティを確保できると、同氏は付け加えました。
このテストはセキュリティ製品にも適用されます。暗号化やその他のマルウェア対策ツールはPOSシステムにおけるデータ漏洩を防ぐことができますが、適切にインストールされていなければ実質的に役に立たないとヘンダーソン氏は述べています。
「それらは万全ではない。問題は実行にある」と彼は言った。
