POSマルウェアの恐怖 (2) カード情報が平文で通信されるシステム

牧野武文

March 9, 2017 08:30
by 牧野武文

小売店に、ほぼ必ず設置されているPOSレジ。これにマルウェアを感染させ、クレジットカード情報を盗み出すという事件が海外を中心に急増している。ただ国内で現在確認されているカード情報流出の被害は、1件(2017年2月現在)のため、日本の小売業や消費者にはまだ重大性は意識されていないようだ。

POSレジのメモリ上のデータが盗まれる

トレンドマイクロによると国内でも2016年1-3月には31件のPOSマルウェアの検出が報告されており、前年同時期の約5倍になっているという。今後も被害が増加する可能性を示しているといえるだろう。

POSマルウェアのうち、第1回で紹介した「RAMスクレイピング」というメモリ上に平文で展開されるカード情報を盗み出す手法の前には、現在の国内のPOSレジやPOSサーバの環境は非常に脆弱である。

fjコンサルティング瀬田陽介氏によると、「大半の大手小売店は、POSレジに内蔵された磁気リーダーでカード決済などの処理をしています。POSの機能は業務効率化の観点で進化した形ですが、逆にセキュリティ対策を困難にしています」と解説する。

小規模な店舗では、レジとは別にCCT(共同利用端末)などの決済専用端末でカードを処理しており、IC対応も進んでいる。この場合、カード情報は決済専用端末で暗号化され、加盟店内では復号化されず、データ処理をするプロセッサに直接送信される。原則POSレジとの間ではカード情報のやりとりをしないため、決済端末に侵入されない限り、POSマルウェアの被害はないはずだ。

しかし、POSレジ一体型の磁気ストライプ処理は、暗号処理の前に一旦は必ず平文でカード情報を読み取り、そのままPOSレジのメモリに展開される。RAMスクレイピングの標的となる。POSマルウェアによってカード情報をRAMスクレイピングされないようにするためには、まずカードリーダーのIC化を進める必要がある。ただし決済端末がIC化されても磁気のみのカードを持ち込む消費者がいる限り磁気ストライプの読み取り処理はなくならない。

すべては暗号化されていない

瀬田氏が指摘するのが、そのようなPOSレジの多くがWindowsベースで動作している点だ。「国内の大半のPOSレジのOSはWindows Embeddedを使用しています。カーネルを含めたソフトウェアの基本構成は、オフィスで使用しているWindowsと同じなので、比較的マルウェアが作りやすい環境にあります。しかもPOSレジはオフィス内のPCと違いセキュリティパッチを頻繁にあてるという習慣がないのが現状です」(瀬田氏 以下同じ)。

要はマルウェア被害がオフィス環境よりも発生しやすいということである。このような環境下のPC(POSレジ)上でカード情報を平文で取り扱うことがいかに危険なのかはお分かりいただけただろう。

磁気ストライプ取引の安全性を高める対策としては、POS内蔵のカードリーダーではなく、小規模店舗と同様な独立した決済専用端末でカード情報を処理することが必要である。決済専用端末はPCI PTSという端末セキュリティの認定を受けている場合が多く、POSレジのOSやメモリで扱うよりはるかに安全性は高い。

第1回で紹介した通り、POSマルウェアのRAMスクレイピング攻撃は、PCI DSSのセキュリティ基準をクリアしていても防げないといわれている。PCI DSSは、POSレジのHDDなどカード情報の保存領域の暗号化は求めているが、メモリの暗号化までは求めていない。また通信経路については公衆ネットワーク(インターネットやWi-Fiなど)経由でカード情報を送信する際には暗号化が求められているが、店舗と本部間の専用線やデータセンター内ネットワークであれば暗号化は必要ない。

すなわち、PCI DSSに準拠している小売店でも、店舗内の有線ネットワークの通信を傍受されれば平文のカード情報を抜き取られる可能性がある。このような背景から米国ではすでにPCI DSSはカード情報を取り扱う企業を守る「最低限の基準」という位置付けになっており、その上で組織が自身を守る管理策を独自に追加していくことが必要とされている。

磁気ストライプ情報の価値

POSマルウェアのRAMスクレイピングで情報を抜き取る場合は、16桁のカード番号や有効期限のみならず、全磁気ストライプ情報を盗み出すことができる。カードの全磁気ストライプ情報はフォーマットがISOでも定義され、単純な正規表現を利用すればメモリ内での検索が容易である。

一方でインターネット加盟店に侵入してカード情報を抜き取る場合は、基本は16桁のカード番号や有効期限しか盗めない。あわせてセキュリティコードが流出することはあるが、カードの全磁気ストライプ情報が流出することはない。全磁気ストライプ情報は、国際ブランドの厳しい要請及びPCI DSSの基準でも保存禁止データになっている。偽装カードを簡単に作成できてしまうからだ。

よってブラックマーケットでもカード番号と有効期限だけの情報と比較し、全磁気ストライプ情報は数倍の価格で取引されているという。犯罪者にとってインターネット加盟店に侵入するよりも、POS加盟店を攻撃してカード情報を盗む方がはるかに効率がよい。

その対策は?

それではPOSマルウェアによる被害を防ぐために、小売店はどのように対策すればよいだろうか? 「POSレジ内部でカード情報を平文に戻さず、ポイントツーポイントで暗号化しておくようにすればいいのです。加えて、使い捨てのワンタイム暗号鍵を使うようにすれば、たとえ途中経路の通信が傍受されたり、トランザクション用の暗号鍵が流出しても、カード情報を平文に戻すことはできません」。

この仕組みの基準がPCI P2PE(Point to Point Encryption)と呼ばれるものだ。今後、POS加盟店はこの基準に準拠した決済端末やプロセシングサービスを採用することが鍵となる。
 
(その3に続く)




ビール祭りにやってきた犯罪者を「顔認識」で一網打尽

November 13, 2017 08:00

by 牧野武文

中国山東省青島市で開催された国際ビール祭りで、青島市開発区警察は、会場に顔認識システムを設置。公安部保有のデータベースと照合することで、犯罪者を抽出し、逮捕するという作戦を実行した。49名の逃亡犯、麻薬犯罪者、スリなどを逮捕する成果をあげたと『新浪科技』が伝えた。 10万人以上がやってくるイベント …

PacSec 2017レポートソフトバンクPepperが危険な理由

November 10, 2017 08:30

by 『THE ZERO/ONE』編集部

米国のセキュリティ企業「IOActive」に所属するセキュリティエンジニア、ルーカス・アパ氏が「スカイネットが来る前にロボットをハックする」と題してロボット、特に家庭向けの製品に関するセキュリティ・リスクについて「PacSec2017」で講演を行った。 家庭用のロボットはリスクだらけ ルーカス氏はネ…