Latest evidence-based health information
Sitemap
Iphone

ハートランド、暗号化決済システムに移行

Otpoo
Otpoo xumh
ハートランド、暗号化決済システムに移行
ハートランド、暗号化決済システムに移行

ハートランド・ペイメント・システムズは、1年前に発生し、広く報道された大規模なデータ侵害を受けて、決済取引をエンドツーエンドの暗号化システムに移行する予定であると、会長兼CEOのロバート・カー氏が明らかにした。

「エンドツーエンドの暗号化は、私たちや何百もの他の企業が経験したような侵害のリスクを軽減する良い方法です。

「d」とカー氏はインタビューで語った。

「当社は、カード番号が加盟店のシステムに入らないようにするためにフロントエンドで暗号化を使用しており、また、当社のネットワークを通過するすべてのカード番号は、復号化の時点を除いて全体的に暗号化されています」と彼は述べた。

同社は、25 万以上の加盟店を対象に年間 40 億件以上の取引を処理しており、この機能の基盤として、Thales nShield Connect ハードウェア セキュリティ モジュールと Voltage Security の SecureData 暗号化ソフトウェアを使用します。

2009 年 1 月、ハートランド ペイメント システムズは、侵入者がシステムに侵入し、カード番号を収集するためのソフトウェアを仕掛け、SQL インジェクション攻撃を使用してネットワーク内にカード番号を盗聴するプログラムを仕掛けたことを発見したと報告しました。

8月、米国司法省は、フロリダ州在住のアルバート・ゴンザレス氏を、今回の情報漏洩に加え、攻撃を受けた他の複数の企業の情報漏洩についても起訴した。ゴンザレス氏は先月、有罪を認めた。

2009年のハートランドへの攻撃は、実際には2008年5月に発生した以前の侵入行為に端を発しているとカー氏は説明した。「私たちは、それを除去するためにあらゆる手段を講じたつもりでした」と彼は述べた。しかし、ゴンザレス氏が仕掛けたマルウェアの一部は見過ごされていたことが判明した。

2009年1月12日、ハートランドは自社システム内のカード番号に起因する異常なアクティビティの警告を受けました。その週の残り時間と週末にかけて、同社は悪意のあるソフトウェアを発見し、法執行機関およびクレジットカード会社と協議しました。ハートランドは翌週の火曜日、1月20日に侵害を発表しました。

その後、同社は、その日のメディア報道が中心だったバラク・オバマ米大統領就任式の真っ最中に情報漏洩を発表したことで批判を浴びた。しかしカー氏は、前日が米国の祝日だったため、影響を受けた企業の株価がニュースによって変動した場合、インサイダー取引の疑いが持たれるのを避けるため、米国株式市場が開く前に発表する必要があったと説明した。

司法省はゴンザレスとその仲間が1億3000万件ものクレジットカード番号を収集したと報告したが、カー氏は自分のシステムからだけでもどれだけのカード番号がコピーされたのかを明らかにしなかった。

「正確な数字は誰にも分かりませんし、存在するすべてのデータを把握しているわけでもありません」と彼は述べた。「(メディアの報道よりも)少ないと考えていますが、軽微な侵害だと主張するつもりはありません」

多くの企業と同様に、ハートランド社は2003年に制定されたカリフォルニア州法に基づき、データ漏洩の公表を義務付けました。これを受け、カード番号データベースを暗号化しました。漏洩した情報が暗号化されていた場合、開示は不要だったかもしれません。しかし、ハートランド社の場合、カード番号は他のアプリケーションで使用できるように復号化されており、転送中や他のアプリケーションで処理中に読み取ることが可能でした。

カー氏は、この種の攻撃を阻止するために、ハートランドはエンドツーエンドの暗号化を選択する前に、いくつかのセキュリティアーキテクチャを検討したと述べた。

この新システムにより、ハートランドは加盟店にカードの暗号化機能を提供し、加盟店はカード番号を自社システムに一切保存する必要がなくなると、ボルテージ・セキュリティの最高技術責任者であるテレンス・スパイズ氏は説明した。ほとんどの加盟店決済処理システムは、カードのPIN番号またはセキュリティコードを暗号化している。カード番号自体は、POSシステムとも呼ばれるレジでは通常暗号化されていない。

この新しいシステムでは、POSシステムに改ざん防止セキュリティモジュール(TRSM)を導入します。カードがスワイプされると、TRSMはIDベース暗号化(IBEN)を用いてカード番号を公開鍵で暗号化し、ハートランドゲートウェイに送信します。

「HSMは秘密鍵の復号プロセスを制御します」とSpies氏は述べた。このシステムは、フォーマット保持暗号化(FPE)と呼ばれる技術を採用しており、暗号化された番号は元のカード番号と同じ長さになるため、他のデータベースシステムでは元の番号ではなく、暗号化された番号を識別子として使用できる。

ハートランドは昨年、加盟店と共同でいくつかのテストシステムを導入し、現在、全顧客にサービス提供を開始する予定です。カード暗号化への移行にはレジ用の新しいハードウェアの購入が必要となるため、ハートランドはエンドツーエンドの暗号化をオプトイン方式で提供します。

しかし、このアップグレードは小売業者にとってプラスになるかもしれない。カー氏は、小売業者がシステムを正しく導入し、その後カード番号の漏洩を含むセキュリティ侵害に遭った場合、ハートランドがそのセキュリティ侵害の責任を負うことになる、と述べた。

Otpoo

Health writer and researcher with expertise in evidence-based medicine and healthcare information.

Recommended Reading

TP-Linkのスマートライトスイッチ4個パックをたったの40ドルで手に入れよう

TP-Linkのスマートライトスイッチ4個パックをたったの40ドルで手に入れよう

このホリデーシーズンにたったの 40 ドルでウェブホスティングを永久に手に入れましょう

このホリデーシーズンにたったの 40 ドルでウェブホスティングを永久に手に入れましょう

ICANNのベックストロム最高責任者が退任へ

ICANNのベックストロム最高責任者が退任へ

You Might Also Enjoy

AMDドライバがデスクトップでQuake ChampionsのリンクをこっそりドロップしたことにRadeonユーザーが反発

AMDドライバがデスクトップでQuake ChampionsのリンクをこっそりドロップしたことにRadeonユーザーが反発

TP-Linkのスマートライトスイッチ4個パックをたったの40ドルで手に入れよう

TP-Linkのスマートライトスイッチ4個パックをたったの40ドルで手に入れよう

Acerのパワフルで充実した装備を備えたPredator Helios 300ゲーミングノートパソコンが1,000ドルを切る

Acerのパワフルで充実した装備を備えたPredator Helios 300ゲーミングノートパソコンが1,000ドルを切る

Popular Articles

Acerのパワフルで充実した装備を備えたPredator Helios 300ゲーミングノートパソコンが1,000ドルを切る
NvidiaのGeForce GTX 780:一般ユーザー向けのTitan
AMDドライバがデスクトップでQuake ChampionsのリンクをこっそりドロップしたことにRadeonユーザーが反発
ハートランド、暗号化決済システムに移行
拡張現実のポケモンゲームがスマートフォンに登場

Categories

Trending Topics

Health Nutrition Fitness Wellness Mental Health Diet Medical Research