POSマルウェアの恐怖 (3) カード情報を全プロセスで暗号化する「PCI P2PE」はPOSマルウェア攻撃を防げるか

牧野武文

March 22, 2017 08:00
by 牧野武文

第1回第2回で紹介したように、POSレジに感染するマルウェアによるクレジットカード情報流出事件が米国を中心に相次いでいる。

POSマルウェアは、POSレジやPOSサーバー内の平文カード情報を含む個人情報を標的にする。カード情報セキュリティのグローバル基準PCI DSSでも、カード情報をメモリで処理する場合までは暗号化は要求していない。POSレジのメモリ内で平文処理される磁気ストライプ取引のカード情報は、十分には保護されていない。

より安全な基準「PCI P2PE」

クレジット共同利用端末(CCT)などでIC取引にすれば、決済端末内で暗号化したカード情報はプロセッサ(データ処理の会社)まで復号化されない。日本政府は2020年までに発行カードも決済端末も100%IC化を目指すとしている。しかし仮にこれが達成されたとしても、IC化の目標を掲げていない国からの訪日外国人など磁気ストライプの取引は、決してなくならない。

そこで磁気ストライプ取引も含めたカード情報のセキュリティを高める方策としてPCI P2PE(Point to Point Encryption)という新しい基準が注目されている。これは認定された決済端末でカード情報を暗号化し、PCI P2PEソリューションプロバイダ(PCI DSSの発行元でもあるPCI SSCがソリューション毎に認定)で復号化する仕組みだ。

POSの内部をカード情報が通過する場合でも、POS加盟店環境の中ではカード情報を一切復号化しない。また暗号化もDUKPTという暗号鍵をトランザクション毎に交換する方式を採用している。仮にカード会員データのトランザクション鍵自体が流出しても盗み出したカード情報を復号化することはできない。この仕組みが普及をすれば、米国で相次いでいるPOSマルウェアやそのRAMスクレイピング攻撃を防ぐことができるといわれている。

日本では、2016年2月に経済産業省を中心とするクレジット取引セキュリティ対策協議会が「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画(以下、「実行計画」)」(PDF)を発表した。2020年東京五輪までに、カードセキュリティを諸外国と同じレベルまで引き上げようという国策だ。

この中で要求されているものの一つが「対面加盟店におけるカード情報の非保持化」である。対面加盟店における「非保持」の定義は、POSレジやPOSサーバでカード情報を「通過」「処理」「保存」しないというものだ。具体的な方式として、通称で「外回り方式」というPOSレジに決済専用端末を外付けしてカード情報を処理する方法を示している。

POSレジと決済専用端末間のデータ連携は金額と決済結果のみで、カード情報はやりとりしないことから安全な方法であるという解釈だ。同時にこの「外回り方式」以外を選択する場合は、非保持化とはみなされず原則PCI DSS準拠が要求されている。

「実行計画2017」では内回り方式としてPCI P2PEに言及

それから約1年後の2017年3月に改訂版である「実行計画 2017」(PDF)が発表された。改訂版では、前述の「外回り方式」に加え、「内回り方式」も条件付きで認められた。

その条件とは非保持同等の安全性が確認されている技術を採用することである。一例としてPCI P2PEが挙げられている。fjコンサルティング瀬田陽介氏によると「認定済みのPCI P2PEソリューションプロバイダーが現状(2017年3月)では国内にはいない状況ですが、1年以内に複数社からサービスが開始されるはずです。「実行計画」でも紹介され今後国内でも安全性の高い方式として注目されていくでしょう」という。

前述の通りカード情報が処理されるPOSレジのメモリの暗号化まではPCI DSSでは要求されない。比較すると、一定の安全性が認定された決済端末から、PCI P2PEソリューションプロバイダの復号化ポイントまでエンドツーエンドで暗号化されるPCI P2PEは、POSレジのメモリに対するRAMスクレイピング攻撃があったとしても、ワンタイムの鍵で暗号化されたカード情報しか流出しない。よって対面加盟店のシーンではPCI DSS以上の安全性が実現できるとも言われている。

PCI DSSの準拠項目数も緩和

PCI P2PEソリューションを導入したPOS加盟店は、実行計画では「非保持」となるが、仮にPCI DSSを準拠する際でもその加盟店の負担は大きく下がる。通常POS加盟店がPCI DSSに準拠するためには、331項目(SAQ加盟店D)の要求事項を満たさなければならない。瀬田氏は「POS加盟店が、正面からPCI DSSに準拠するのは、非常に困難であると考えます」という。それらの中には「リスクの高い脆弱性が発見された場合は1ヵ月1回にPOSレジにパッチをあてる」や「各店舗で四半期に一度無許可な無線LAN APが設置されていないことを確認する」などのPCI DSS要件が含まれる。

第1回で紹介した通りPOSレジの大半のOSはWindows Embeddedにもかかわらず、定期的にPOSレジにパッチをあてる習慣はPOS加盟店にはほとんどない。また全ての店舗で無線LANの検査を店舗スタッフでやることは困難なため、専門のスタッフが対応するとなると、店舗数が多いほどコストは莫大である。

だがPCI P2PEソリューションを導入すると、それらの331項目のうち、多くが不要となり、わずか33項目に減る。つまり導入してきちんとサービス提供会社(P2PEソリューションプロバイダー)のルール通り運用することで、約300項目のリスクの軽減がなされる。またその削減数は、政策的にPCI P2PEの拡大を促進していこうという意向もはたらいていると思われる。いずれにせよPCI DSSの対策コストを大幅に下げられるという点が、小売業から注目される理由のひとつになっている。

しかし実際に導入を検討していくと、業種によっては、実際のカード情報の取扱業務においていくつかの壁にあたるという。次回は、その小売店業の事情を紹介したい。
 
(その4に続く)

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

アリペイの盲点を突いた男に懲役5年

May 15, 2018 08:00

by 牧野武文

アリババが運営するQRコードスマホ決済「アリペイ(支付宝)」のシステムは、かなり堅牢だ。 アリババは、どのようなセキュリティ対策をしているかは一切公表していない。ただ、ネットではよく「10段構えの防御システムになっている」と言われる。最も外の防御システムが突破されるとアラートが発せられて、緊急チーム…

刑務所をハッキングして友人の刑期を書き換えた男

May 11, 2018 08:00

by 江添 佳代子

2018年4月26日、刑務所のシステムをハッキングした罪で逮捕されていた米国人男性、Konrads Voits(27歳)に7年3ヵ月の禁固刑が下った。彼がミシガン州ウォッシュトノー郡のコンピューターシステムに侵入しようとした動機は、服役中の友人の刑期を短くするためだった。この「受刑者記録を改ざんすれ…

「事故前提の中国無人運転車」の公道走行試験

May 8, 2018 08:00

by 牧野武文

中国工信部、公安部、交通運輸部は連合して、「スマートネット自動車公道試験管理規範(試行)」を発表したと『中間村在線』が報じた。いわゆる無人運転車の公道走行試験の方法を国として定めたもので、中国はドライバレースカーの実用開発で他国を一歩リードすることになる。 無人運転の6要件 このガイドラインは、国と…