POSマルウェアの恐怖 (2) カード情報が平文で通信されるシステム

牧野武文

March 9, 2017 08:30
by 牧野武文

小売店に、ほぼ必ず設置されているPOSレジ。これにマルウェアを感染させ、クレジットカード情報を盗み出すという事件が海外を中心に急増している。ただ国内で現在確認されているカード情報流出の被害は、1件(2017年2月現在)のため、日本の小売業や消費者にはまだ重大性は意識されていないようだ。

POSレジのメモリ上のデータが盗まれる

トレンドマイクロによると国内でも2016年1-3月には31件のPOSマルウェアの検出が報告されており、前年同時期の約5倍になっているという。今後も被害が増加する可能性を示しているといえるだろう。

POSマルウェアのうち、第1回で紹介した「RAMスクレイピング」というメモリ上に平文で展開されるカード情報を盗み出す手法の前には、現在の国内のPOSレジやPOSサーバの環境は非常に脆弱である。

fjコンサルティング瀬田陽介氏によると、「大半の大手小売店は、POSレジに内蔵された磁気リーダーでカード決済などの処理をしています。POSの機能は業務効率化の観点で進化した形ですが、逆にセキュリティ対策を困難にしています」と解説する。

小規模な店舗では、レジとは別にCCT(共同利用端末)などの決済専用端末でカードを処理しており、IC対応も進んでいる。この場合、カード情報は決済専用端末で暗号化され、加盟店内では復号化されず、データ処理をするプロセッサに直接送信される。原則POSレジとの間ではカード情報のやりとりをしないため、決済端末に侵入されない限り、POSマルウェアの被害はないはずだ。

しかし、POSレジ一体型の磁気ストライプ処理は、暗号処理の前に一旦は必ず平文でカード情報を読み取り、そのままPOSレジのメモリに展開される。RAMスクレイピングの標的となる。POSマルウェアによってカード情報をRAMスクレイピングされないようにするためには、まずカードリーダーのIC化を進める必要がある。ただし決済端末がIC化されても磁気のみのカードを持ち込む消費者がいる限り磁気ストライプの読み取り処理はなくならない。

すべては暗号化されていない

瀬田氏が指摘するのが、そのようなPOSレジの多くがWindowsベースで動作している点だ。「国内の大半のPOSレジのOSはWindows Embeddedを使用しています。カーネルを含めたソフトウェアの基本構成は、オフィスで使用しているWindowsと同じなので、比較的マルウェアが作りやすい環境にあります。しかもPOSレジはオフィス内のPCと違いセキュリティパッチを頻繁にあてるという習慣がないのが現状です」(瀬田氏 以下同じ)。

要はマルウェア被害がオフィス環境よりも発生しやすいということである。このような環境下のPC(POSレジ)上でカード情報を平文で取り扱うことがいかに危険なのかはお分かりいただけただろう。

磁気ストライプ取引の安全性を高める対策としては、POS内蔵のカードリーダーではなく、小規模店舗と同様な独立した決済専用端末でカード情報を処理することが必要である。決済専用端末はPCI PTSという端末セキュリティの認定を受けている場合が多く、POSレジのOSやメモリで扱うよりはるかに安全性は高い。

第1回で紹介した通り、POSマルウェアのRAMスクレイピング攻撃は、PCI DSSのセキュリティ基準をクリアしていても防げないといわれている。PCI DSSは、POSレジのHDDなどカード情報の保存領域の暗号化は求めているが、メモリの暗号化までは求めていない。また通信経路については公衆ネットワーク(インターネットやWi-Fiなど)経由でカード情報を送信する際には暗号化が求められているが、店舗と本部間の専用線やデータセンター内ネットワークであれば暗号化は必要ない。

すなわち、PCI DSSに準拠している小売店でも、店舗内の有線ネットワークの通信を傍受されれば平文のカード情報を抜き取られる可能性がある。このような背景から米国ではすでにPCI DSSはカード情報を取り扱う企業を守る「最低限の基準」という位置付けになっており、その上で組織が自身を守る管理策を独自に追加していくことが必要とされている。

磁気ストライプ情報の価値

POSマルウェアのRAMスクレイピングで情報を抜き取る場合は、16桁のカード番号や有効期限のみならず、全磁気ストライプ情報を盗み出すことができる。カードの全磁気ストライプ情報はフォーマットがISOでも定義され、単純な正規表現を利用すればメモリ内での検索が容易である。

一方でインターネット加盟店に侵入してカード情報を抜き取る場合は、基本は16桁のカード番号や有効期限しか盗めない。あわせてセキュリティコードが流出することはあるが、カードの全磁気ストライプ情報が流出することはない。全磁気ストライプ情報は、国際ブランドの厳しい要請及びPCI DSSの基準でも保存禁止データになっている。偽装カードを簡単に作成できてしまうからだ。

よってブラックマーケットでもカード番号と有効期限だけの情報と比較し、全磁気ストライプ情報は数倍の価格で取引されているという。犯罪者にとってインターネット加盟店に侵入するよりも、POS加盟店を攻撃してカード情報を盗む方がはるかに効率がよい。

その対策は?

それではPOSマルウェアによる被害を防ぐために、小売店はどのように対策すればよいだろうか? 「POSレジ内部でカード情報を平文に戻さず、ポイントツーポイントで暗号化しておくようにすればいいのです。加えて、使い捨てのワンタイム暗号鍵を使うようにすれば、たとえ途中経路の通信が傍受されたり、トランザクション用の暗号鍵が流出しても、カード情報を平文に戻すことはできません」。

この仕組みの基準がPCI P2PE(Point to Point Encryption)と呼ばれるものだ。今後、POS加盟店はこの基準に準拠した決済端末やプロセシングサービスを採用することが鍵となる。
 
(その3に続く)




ハッカーの系譜(10)マービン・ミンスキー (10) 多層化することで問題を解決

March 30, 2017 08:00

by 牧野武文

多層化することでXOR問題を乗り越えられる パーセプトロンの第1の進化は多層化だ。ミンスキーが指摘したように、パーセプトロンはXORの論理演算結果を学習することができない。前回示したように、XORの演算結果は線形分離不可能、つまり直線で真と偽のグループにわけることができないからだ。 しかし、実はちょ…

POSマルウェアの恐怖 (4) クレジットカード番号が顧客番号や業務処理のキーとして活用される

March 29, 2017 08:00

by 牧野武文

  ・POSマルウェアの恐怖(1) PCI DSSに準拠しても防げない? 狙われるPOSシステム ・POSマルウェアの恐怖(2) カード情報が平文で通信されるシステム ・POSマルウェアの恐怖(3) カード情報を全プロセスで暗号化する「PCI P2PE」はPOSマルウェア攻撃を防げるか POSレジを…

IoTヌイグルミは口が軽い!? ユーザー情報82万件がダダ漏れに(後編)

March 28, 2017 08:00

by 江添 佳代子

  →IoTヌイグルミは口が軽い!? ユーザー情報82万件がダダ漏れに(前編) →IoTヌイグルミは口が軽い!? ユーザー情報82万件がダダ漏れに(中編) 何も知らされていなかったユーザー ここでいったん時系列を確認しよう。ハントやロレンゾに情報を提供した人物がCloudPetsへの連絡を試みたのは…

中国で9億アカウントが利用する「WiFi万能鍵」が1308種類の偽アプリを一掃

March 27, 2017 10:30

by 牧野武文

『中国経済網』の報道によると、中国で大人気のアプリ「WiFi万能鍵」を開発した上海連尚科技有限公司は、今年3月までに、1308種類の偽アプリを一掃したと発表した。 アカウント数9億件を超える無線LANユーティリティーソフト WiFi万能鍵は、公衆無線LANに自動接続するAndroid・iOSアプリ。…