ロブ・ヴァンデンブリンク氏は、カナダの大手小売業者への侵入テストを実施していた際、その店舗で商品を購入しました。その後、自身のクレジットカード番号がシステムに埋め込まれていることが判明し、大きな懸念を抱きました。
カナダ全土に数百の店舗を持つこの小売業者は、それ以外の点では堅固なセキュリティを備えており、クレジットカード業界のデータセキュリティ基準(PCI-DSS)として知られるセキュリティガイドラインに準拠していたと、ITサービス会社メタフォアのコンサルタント、ヴァンデンブリンク氏は語った。
しかし、単純な設定ミスによりリモートアクセスに成功し、Target、Neiman Marcus、Michaels、UPS Storeなどの店舗で発生したのと同じ問題に、この小売業者も脆弱であることが判明した。それは、悪意のあるソフトウェアによって盗み取られる可能性のあるメモリに保存されたカードデータだった。
問題は悪化の一途を辿っています。米国国土安全保障省とシークレットサービスは先月、1,000社以上の企業が、業界ではPOS(販売時点情報管理)機器として知られる電子レジスターにマルウェア感染している可能性があると警告しました。
では、なぜデータ窃盗犯が勝利を収めているのでしょうか?セキュリティアナリストによると、POSマルウェアは目新しいものでも、特に高度なものでもないそうです。Backoff、BlackPOS、JackPOSといったプログラムは、コンピューターのメモリ内のデータの山に詰め込まれた平文のカード情報を探し出す、「RAMスクレイピング」と呼ばれるプロセスで動作します。
カードデータを扱う加盟店は、PCI-DSSに準拠することが義務付けられており、準拠しない場合はカード会員データの漏洩による責任を問われる可能性があります。しかし、最新のセキュリティ仕様であるPCI-DSSバージョン3.0では、ポイントツーポイント暗号化と呼ばれる、カードがスワイプされた瞬間からカードデータを暗号化する技術の使用を加盟店に義務付けていません。
セキュリティ専門家によれば、そのような技術を使用すれば、メモリ内のマルウェアの問題は解消されるという。
PCI-DSSを開発するPCIセキュリティ標準協議会は先週の水曜日、小売業者に対し、そうした暗号化技術の使用に切り替えるよう勧告した。
しかし、小売業者は技術更新サイクルが長い場合が多いため、ほとんどの企業が移行するまでには5~7年かかる可能性があります。銀行やカード会社にコンサルティングを行うガートナーのアナリスト、アビバ・リタン氏は、詐欺は弱点を解決した大手小売業者から、解決していない小規模小売業者へと移行すると予想されると述べています。
「一般的に言って、こうしたPOSデータの侵害は今後何年も問題になると思う」とリタン氏は語った。
小売業者は、ネットワークログに攻撃を受けていることを示す重要な兆候を見逃している。データ侵害を調査するベライゾンのリスクチームのマネージングディレクター、ブライアン・サーティン氏によると、ほとんどの侵害はカード不正利用の記録など、第三者によって発見されるという。
多くの小売業者は「現代のサイバー攻撃に対応するために1990年代の技術を使用している」とサーティン氏は述べた。
データ漏洩保険事業が急成長しているビーズリー・グループの引受人ニック・エコノミディス氏は、加盟店はカード会社から違反に対する罰金を科せられる可能性があり、また、PCI関連の違反の場合、10万ドル以上の費用がかかる可能性があるフォレンジック調査の費用も負担しなければならないと述べた。
近年、小売業者がPOSシステムのサプライヤーやインテグレーターを訴えるといった反撃が相次いでいます。こうした訴訟では、一般的に、設定やメンテナンスのミスによる違反についてはサプライヤーが責任を負うと主張されています。
興味深いことに、POSサプライヤーは和解を選択することが多いため、実際に正式裁判となる訴訟はごくわずかだと、こうした訴訟に数多く関わってきたアトランタの弁護士チャールズ・ホフ氏は述べた。
POSサプライヤーは「強力な防御力を持っていると感じているかもしれませんが、メディアによる監視は好ましくないのです」とホフ氏は述べた。「市場では、それは決してプラスにはなりません。彼らは顧客を失わず、維持する方法を見つけたいと考えているのです。」
マーキュリー・ペイメント・システムズの最高コンプライアンス責任者、パム・ギャリガン氏は、小売業者が望んでいるのは「売っているものを売ること」だけだと語った。同社の決済処理技術はさまざまなPOSシステムに組み込まれている。
「PCIは加盟店に対し、ますます技術的になる一連の要件への準拠を求めています」と彼女は述べた。「加盟店は、カード環境の保護に多くの時間と労力を費やしたくないのです。」
1月1日に発効するPCI-DSS 3.0に加盟店が確実に対応できるよう、幅広い取り組みが進められている。しかし、これは複雑で、12の主要な要件と250を超えるサブ要件がある。
ギャリガン氏によると、マーキュリーはPOSパートナーがPCI DSSに準拠できるよう尽力しているという。ホフ氏は、データセキュリティの専門家ではない人々にPCI-DSSを解説する組織「PCI University」の共同創設者兼CEOだ。
加盟店は、カードデータを常に正しく取り扱うよう、大きなプレッシャーにさらされています。PCI Councilは、小売業者が年次監査に合格したからといって、それを放置するべきではないと勧告しています。主な懸念事項は、ネットワークが時間の経過とともに変更され、ハッカーが悪用できる弱点が意図せず生み出されてしまう可能性があることです。
まさにこれが、テスト対象となったカナダの小売業者VandenBrinkで起こったことだ。同社は最近ハードウェアの更新を終えたばかりだったが、その過程でインターネットに面したTelnetポートとSSHポートを2つ開いたままにしていたという。
ポートはパスワードで保護されていましたが、ヴァンデンブリンクは様々なテクニックを駆使し、最終的に正しいパスワードを発見しました。これにより、彼自身のデータを含む、決済カードのデータがメモリに保存されている場所へのアクセスが可能になりました。
「驚きました」と彼は言った。「メモリには何千枚ものカードが保存されていたんです。」
