トップ > ブロックチェーンセキュリティ > 【Pくんが教えるWAF】 カード、使うたびに情報が漏洩されたら?

【Pくんが教えるWAF】 カード、使うたびに情報が漏洩されたら?

ブロックチェーンセキュリティ Pくんが教えるWAF

 

カード、使うたびに情報が漏洩されたら?

 
POSシステムのハッキングは、滅多に起こらないことのように見えますが、実際ベライゾン(Verizon)の「2017 Data Breach Investigations Report」によると、今日までも相変わらず頻繁に発生している攻撃です。 盗まれたカードの取引市場規模は持続的に成長しています。

 

 

カード情報の漏洩事件。

 

www.pentasecurity.co.jp

www.pentasecurity.co.jp

 

まずは、POSシステムのハッキングについて説明する前に、POSシステムを通じて顧客情報またはカード情報などが漏洩された事件についてまとめた記事をご覧ください。

カード端末機を取り扱う商店が増加することにより、カード情報漏洩事件やその被害も急増しています。どうやって、カード情報は盗まれ、使用されることでしょうか。

 

 

POSシステムはどうやってハッキングされるか。


POSシステムのハッキングは一般PCシステムハッキングと違いません。ハッカーは、モニタリングシステムをPOSシステムに接続したり、リモートハッキングを利用します。一般的にハッカーはRAM(random-access memory)スキャナーを設置し、コンピュータシステムのメモリにアクセスして、デビットカードまたはクレジットカードを端末機で使用した後のカードデータにアクセスします。
数秒内に攻撃者はオンライン闇市場(ダークウェブ)などを通じて、カード情報にアクセスすることができます。このようにアプローチされたカード情報は、悪意的な目的で使用される可能性があります。また、このようなすべてのシステムがただ専用POS端末機の形で提供されることではありません。時にはこのようなPOSシステムがWindowsなどのOSから実行されるため、ハッキングマルウェアWindows(OS)を通じて、他の情報にアクセスすることもあります。
磁気ストライプがあるカードを使用すれば、ハッカーがカード情報を簡単に盗まれることができます。ターミナルの一つではカード番号やカードの有効期限およびセキュリティコードがすべて収集されるため、ターミナルをハッキングするハッカーは、偽のカードを作って販売するために必要なすべての情報を保有することができます。しかし、セキュリティチップカードを使用するとカードを使用するたびに、セキュリティコードが使用されます。したがって、ハッカーがカードを使用することがさらに難しくなります。盗まれたカード情報は闇市場で価値がなくなります。
もちろんセキュリティチップがあるカードが安全ですが、問題は多くの企業がセキュリティチップカードの読み取り機に転換することを憚るということです。カード読み取り機を使うためには多くの人材や時間、資源が必要です。実際、小売業者のうち44%だけがPOSシステムでチップカード読み取り機を使用しています。また、新しいセキュリティ/ソフトウェアパッチを注入すると、一時的にPOSシステムが非活性化され、販売に影響を与えかねないという懸念もあります。したがって、小売業者は、従来のPOSシステムを他のものに変更することを躊躇するしかないです。

 

POSシステム保護しよう。


小売流通会社がチップ読み取り機を安全に使用するように転換することが理想的かも知れませんが、言及したようにこのような変化による困難があります。それで、購入者の一部はチップカードがあっても、磁気ストライプを通じてカード決済を利用します。しかし、商店がPOSシステムを保護できるいくつかの方法があります。ハッカーがシステムにアクセスできる一つの方法は、鍵入力を通じて密かにスパイウェアの類型を使用するキーロギングを使用することです。アンチ・キーロガー・ソフトウェアに保護機能を追加すれば、例えば、Windowsから実行されるPOSシステムの場合、ハッカーがアクセスしようと試みることを防止することができます。
小売業者は、遠隔奪取保護機能を実現し、ハッカーがPOSネットワークを見たりアクセスできないようにすることもできます。このような種類の技術は、攻撃を遮断して基本デスクトップ画面を隔離された画面に切り替えることにより、ハッカーがデスクトップでデータベースにアクセスできるすべてを見ることができないようにします。小売業者は、ターミナル環境を保護することがネットワークを保護するほど重要だということを忘れてはいけません。
職員に最新情報を提供することも重要です。職員がPOS装備を変造しないように教育を受けることが大事です。

  


まとめ
POSセキュリティは小売業者であれ、購買者であれ、すべての人に影響を及ぼします。数百万人が超えるデータ流出につながる巨大な核です。POSがデータ流出の一つのルートということを認知し、セキュリティの重要性に警戒心を持たなければなりません。POSシステムに対する攻撃は減っていますが、カードの使用が増加することと共に、ハッカーらは脆弱なPOSシステムを引き続きターゲティングし、攻撃するはずです。

日本では、2020年東京オリンピックに向け、クレジットカード使用および加盟店の普及を増やすために努力し、「クレジットカード加盟店契約に関するガイドライン」を策定

しながら、それにつれてクレジットカード情報流出事件を予防するためにクレジットカードのセキュリティに関する注意を喚起しています。これから重要になれるカードセキュリティ問題、さらに興味を持ってください。

 

 

「D’Amo  for POS」の詳しい情報は、こちらから確認できます。

POSセキュリティ」の詳しい内容は、こちらから確認できます。

 

f:id:PentaSecurity:20170706174005p:plain

関連記事

PentaSecurity


コメントを書く