POSマルウェアの恐怖 (3) カード情報を全プロセスで暗号化する「PCI P2PE」はPOSマルウェア攻撃を防げるか

牧野武文

March 22, 2017 08:00
by 牧野武文

第1回第2回で紹介したように、POSレジに感染するマルウェアによるクレジットカード情報流出事件が米国を中心に相次いでいる。

POSマルウェアは、POSレジやPOSサーバー内の平文カード情報を含む個人情報を標的にする。カード情報セキュリティのグローバル基準PCI DSSでも、カード情報をメモリで処理する場合までは暗号化は要求していない。POSレジのメモリ内で平文処理される磁気ストライプ取引のカード情報は、十分には保護されていない。

より安全な基準「PCI P2PE」

クレジット共同利用端末(CCT)などでIC取引にすれば、決済端末内で暗号化したカード情報はプロセッサ(データ処理の会社)まで復号化されない。日本政府は2020年までに発行カードも決済端末も100%IC化を目指すとしている。しかし仮にこれが達成されたとしても、IC化の目標を掲げていない国からの訪日外国人など磁気ストライプの取引は、決してなくならない。

そこで磁気ストライプ取引も含めたカード情報のセキュリティを高める方策としてPCI P2PE(Point to Point Encryption)という新しい基準が注目されている。これは認定された決済端末でカード情報を暗号化し、PCI P2PEソリューションプロバイダ(PCI DSSの発行元でもあるPCI SSCがソリューション毎に認定)で復号化する仕組みだ。

POSの内部をカード情報が通過する場合でも、POS加盟店環境の中ではカード情報を一切復号化しない。また暗号化もDUKPTという暗号鍵をトランザクション毎に交換する方式を採用している。仮にカード会員データのトランザクション鍵自体が流出しても盗み出したカード情報を復号化することはできない。この仕組みが普及をすれば、米国で相次いでいるPOSマルウェアやそのRAMスクレイピング攻撃を防ぐことができるといわれている。

日本では、2016年2月に経済産業省を中心とするクレジット取引セキュリティ対策協議会が「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画(以下、「実行計画」)」(PDF)を発表した。2020年東京五輪までに、カードセキュリティを諸外国と同じレベルまで引き上げようという国策だ。

この中で要求されているものの一つが「対面加盟店におけるカード情報の非保持化」である。対面加盟店における「非保持」の定義は、POSレジやPOSサーバでカード情報を「通過」「処理」「保存」しないというものだ。具体的な方式として、通称で「外回り方式」というPOSレジに決済専用端末を外付けしてカード情報を処理する方法を示している。

POSレジと決済専用端末間のデータ連携は金額と決済結果のみで、カード情報はやりとりしないことから安全な方法であるという解釈だ。同時にこの「外回り方式」以外を選択する場合は、非保持化とはみなされず原則PCI DSS準拠が要求されている。

「実行計画2017」では内回り方式としてPCI P2PEに言及

それから約1年後の2017年3月に改訂版である「実行計画 2017」(PDF)が発表された。改訂版では、前述の「外回り方式」に加え、「内回り方式」も条件付きで認められた。

その条件とは非保持同等の安全性が確認されている技術を採用することである。一例としてPCI P2PEが挙げられている。fjコンサルティング瀬田陽介氏によると「認定済みのPCI P2PEソリューションプロバイダーが現状(2017年3月)では国内にはいない状況ですが、1年以内に複数社からサービスが開始されるはずです。「実行計画」でも紹介され今後国内でも安全性の高い方式として注目されていくでしょう」という。

前述の通りカード情報が処理されるPOSレジのメモリの暗号化まではPCI DSSでは要求されない。比較すると、一定の安全性が認定された決済端末から、PCI P2PEソリューションプロバイダの復号化ポイントまでエンドツーエンドで暗号化されるPCI P2PEは、POSレジのメモリに対するRAMスクレイピング攻撃があったとしても、ワンタイムの鍵で暗号化されたカード情報しか流出しない。よって対面加盟店のシーンではPCI DSS以上の安全性が実現できるとも言われている。

PCI DSSの準拠項目数も緩和

PCI P2PEソリューションを導入したPOS加盟店は、実行計画では「非保持」となるが、仮にPCI DSSを準拠する際でもその加盟店の負担は大きく下がる。通常POS加盟店がPCI DSSに準拠するためには、331項目(SAQ加盟店D)の要求事項を満たさなければならない。瀬田氏は「POS加盟店が、正面からPCI DSSに準拠するのは、非常に困難であると考えます」という。それらの中には「リスクの高い脆弱性が発見された場合は1ヵ月1回にPOSレジにパッチをあてる」や「各店舗で四半期に一度無許可な無線LAN APが設置されていないことを確認する」などのPCI DSS要件が含まれる。

第1回で紹介した通りPOSレジの大半のOSはWindows Embeddedにもかかわらず、定期的にPOSレジにパッチをあてる習慣はPOS加盟店にはほとんどない。また全ての店舗で無線LANの検査を店舗スタッフでやることは困難なため、専門のスタッフが対応するとなると、店舗数が多いほどコストは莫大である。

だがPCI P2PEソリューションを導入すると、それらの331項目のうち、多くが不要となり、わずか33項目に減る。つまり導入してきちんとサービス提供会社(P2PEソリューションプロバイダー)のルール通り運用することで、約300項目のリスクの軽減がなされる。またその削減数は、政策的にPCI P2PEの拡大を促進していこうという意向もはたらいていると思われる。いずれにせよPCI DSSの対策コストを大幅に下げられるという点が、小売業から注目される理由のひとつになっている。

しかし実際に導入を検討していくと、業種によっては、実際のカード情報の取扱業務においていくつかの壁にあたるという。次回は、その小売店業の事情を紹介したい。
 
(その4に続く)




1年に1度 ラスベガスで開催されるハッカー達のお祭りアジア勢が健闘したDEFCON 25 CTF&PHVレポート

September 19, 2017 08:00

by tessy

今年もDEF CONがアメリカ・ラスベガスで行われた。25回目の記念となるDEF CON25は昨年までのバリーズ、パリスと2つのホテルが会場となっていたが、今年はシーザース・パレスに変更され、7月27日から30日までの日程で開催された。 筆者も今回で9回目の参加であり、会場も4つ目となる。初めてDE…

46万5000台のペースメーカーに存在した脆弱性(後編)脆弱性情報は投資会社に伝えるほうが「うまくいく」のか?

September 15, 2017 08:00

by 江添 佳代子

前編記事→死に直結する医療機器のセキュリティホール Abbott Laboratories(旧St Jude Medical)のペースメーカーの脆弱性を最初に報告したのは、米国のスタートアップのセキュリティ企業MedSec Holdings(以下MedSec)だった。その発見は当時、珍しい展開のセキ…