対面/POS加盟店が考慮すべき5つのポイント(後編)

はじめに

前編に引き続き、対面/POS加盟店がカード情報流出リスクを確実に低減し、PCI DSS準拠を達成するにあたり考慮すべきポイントを解説します。

4. POSマルウェアの対策

2013年末に発生した米小売大手でのカード情報流出事件以降、この事件と同様の手口である、POS端末に感染するマルウェアを使った情報流出事案が数多く報道されています。中には、日系POSベンダーのPOS端末が「Backoff」マルウェアに感染し、全米395店舗でカード情報を流出した飲食店のケースがありました。また、国内でもPOSマルウェアの感染事例が報道され、現実的な脅威として認識されるようになってきました。
POSマルウェア対策で考慮すべきことは、アンチウイルスソフトだけに依存してはいけないことです。「Backoff」マルウェアは、活動の始まった2013年10月から2014年8月までアンチウイルスソフトでは検出できなかったとされ、1000を超える米国企業が感染したと推定されています。つまり、アンチウイルスソフトが突破されても侵害を食い止められるよう、複数のレイヤーで対策を施すことが重要になります。
PCI SSCが2014年11月に公開した加盟店向けのPOSマルウェアの注意喚起「Protecting Your Customer’s Payment Card Data from Malware」では、次の5点の対策を挙げています。

⑴ 最新のアンチウイルスソフトを使用し、パッチを最新の状態に保つ
⑵ システムログを手動あるいは自動ツールでレビューし、疑わしいアクティビティを
    チェックする
⑶ すべてのデフォルトおよび従業員のパスワードを安全なものに更新する
⑷ 次の実装を考慮する
    ・PCI認定のSRED機能を備えたPOIデバイス
    ・PCI認定のP2PEソリューション
⑸ すべてのサードパーティベンダーが、PCI DSSに沿ったセキュリティコントロールを
    適切に実装および維持していることを確認する

出所:PCI SSC「Protecting Your Customer’s Payment Card Data from Malware」を元に付番および意訳

⑴、⑵、⑶、⑸は、PCI DSS要件として求められる内容でもあります。段階的にPCI準拠を進めたいという組織は、該当するPCI DSS要件の実施状況をチェックすることから始めるのもひとつの方法でしょう。それぞれ次のPCI DSS要件が該当する内容になっています。
⑴ 要件5.1, 5.2, 6.2
⑵ 要件10.6
⑶ 要件2.1, 2.1.1, 8.2.3, 8.4, 8.5
⑸ 要件12.8.4, 12.8.5

⑷は、カードリーダーで読み取った時点で直ちにカード情報を暗号化し、特定のエンドポイントに到達するまで復号しない暗号方式で、P2PE(Point-to-Point Encryption)と呼ばれます。P2PEの起点となるカードリーダーが持つ当該機能をSRED(Secure Reading and Exchange of Data)、復号するセンターまで含んだ全体をP2PEソリューションと呼びます。

図3 P2PE全体像

図3:P2PE全体像

通常カードリーダーから読み取られたカード情報は、POS端末のメモリー内で平文の状態で処理されるため、そのデータを狙うRAM Scraping(またはMemory Scraping)と呼ばれる攻撃手法に対して脆弱ですが、P2PEの場合、POS端末はカードリーダーで暗号化されたデータしか扱えないため、この影響を受けないようになっています。
国内では、PCI認定のSREDに対応したピンパッドは出てきていますが、P2PEソリューションはまだのようです。国際ペイメントブランドとPCI SSCは、EMVチップ、P2PE、トークナイゼーションの技術活用による情報の無価値化を推進しており、PCI認定のP2PEソリューションの利用でPCI DSSのオンサイト審査が免除される制度もあるため、今後普及していく可能性はあるでしょう。

5. スキミングのリスクを評価する

スキミングとは、カード情報を許可なく記録し、不正使用目的で他のソース(偽造カード等)へ移すことをいいます。対面/POS加盟店は、基本的に部外者の立ち入るエリアでカード情報を扱うため、常にスキミングの脅威にさらされているといえます。PCI DSS v3.0では、スキミング対策として、カード読取り装置のリスト管理、改ざんや不正置換の定期的な検査、関係者への教育などが要件9.9として追加されました。
PCI SSCが公開している、加盟店向けのスキミング防止ベストプラクティス「Skimming Prevention: Best Practices for Merchants Version 2.0」では、スキミングの種類として以下のような手口が紹介されています。同書には装置の改ざん事例などが写真付きで紹介されているので、店舗スタッフへ教育を行う上でも参考になるでしょう。

・消費者のクレジットカードから直接、小型読取装置(スキマー)で読み取る
・決済端末内部、ケーブルまたはネットワーク機器等に小型のスキミング装置を組み込む
・POSマルウェアによるMemory Scraping
・BluetoothやWi-Fiのワイヤレス通信傍受
・NFC非接触リーダーの通信傍受
・モバイルPOSに見せかけて、スマートフォン等のイヤホンジャックに挿したスキマーで
   読み取る
・正規のカードリーダーやピンパッドを覆う形の「オーバーレイ」と呼ばれるスキマーを
   仕掛ける

出所:PCI SSC「Skimming Prevention: Best Practices for Merchants Version 2.0」を元に抄訳

一般に「スキミング」というと物理的な手口のイメージがありますが、物理的なアクセスを必要とせず効率的にデータを窃取できるPOSマルウェアが重大な脅威となってきているのは前述のとおりです。「オーバーレイ」については、2013年に国内のATMでカード挿入口に仕掛けられたケースがありました。3Dプリンターの普及でプラスチック媒体の複製が容易になったこともあり今後も注意していく必要がありそうです。
このようなスキミングの脅威に対して、自社の店舗がどの程度リスクがあるのかを定量的に評価しておくことは、関係者の理解促進や対策の優先順位を決定する上で重要です。前述のスキミング防止ベストプラクティスでは、店舗およびPOS環境におけるリスク評価手法の一例として、以下の問診票が提供されているので紹介します。

リスク評価問診票

次の問診票をすべて記入することで、「脆弱性スコア」とその結果から店舗が該当するリスクカテゴリーを判定することができます。それぞれの質問には選択式の回答があり、回答ごとに個別の数値が割り当てられています。それぞれの質問に対して、該当する回答の数値を入力してください。

No. 質問 回答 数値 脆弱性
スコア
1 加盟店の店舗はどこにありますか? 街の中心部 1  
ショッピングモール 1  
郊外 2  
2 店舗の建物は孤立していますか? はい 1  
いいえ 0  
3 設問1の回答が「郊外」で、設問2の回答が「いいえ」の場合、店舗と同じ場所にある他の店や事業所の数はいくつですか? 1~3 3  
4~10 2  
11以上 1  
4 店舗は主要幹線道路沿いあるいはその周辺にありますか? はい 1  
いいえ 0  
5 店舗の営業時間は… 24時間 2  
9~5時を超える時間 2  
9~5時(または同等) 1  
6 営業日は週に何日ですか? 7 2  
6以下 1  
期間限定 2  
7 祝日の間、店舗は… 開店 1  
閉店 0  
8 店舗には録画を行う監視カメラがありますか? はい 0  
いいえ 1  
9 スタッフは、監視カメラと録画データにアクセスできますか? はい 1  
いいえ 0  
10 店舗の営業時間中、何人のスタッフが勤務していますか? 3人未満 3  
4~10人 2  
11人以上 1  
11 営業時間中、店舗で勤務する責任者はいますか? はい 0  
いいえ 2  
12 スタッフは… 熟練労働者 0  
半熟練労働者 1  
非熟練労働者 2  
13 季節労働者を雇うことはありますか? はい 1  
いいえ 0  
14 アルバイトスタッフを雇うことはありますか? はい 1  
いいえ 0  
15 スタッフの入れ替わりは多いですか?(年間20人を超えますか) はい 1  
いいえ 0  
16 閉店時、清掃業者は店舗への立ち入りが許可されていますか? はい 1  
いいえ 0  
17 設問16が「はい」の場合、清掃業者はスタッフに付き添われていますか? はい 0  
いいえ 1  
18 ICカードの取引に対応する、ハイブリッドもしくは「スライド&パーク」リーダー(訳注:1つのカードリーダー部で磁気とICの両方に対応するもの)を使用していますか? はい 1  
いいえ 0  
19 通常の営業時間中に使用されていない勘定場はありますか? はい 1  
いいえ 0  
20 使用されていないとき、勘定場にPOIデバイス(訳注:カードリーダー、ピンパッド等)が残されていますか? はい 1  
いいえ 0  
21 使用されていない勘定場は、監視カメラで監視および録画されていますか? はい 0  
いいえ 1  
22 店舗における顧客のスループット(訳注:一定時間あたりの顧客数)は高い、標準的、または低いですか、あるいは一日のある時間帯において混雑時がありますか? 高い 3  
標準的 1  
低い 1  
混雑時がある 2  
23 週のうち非常に忙しくなる特定の曜日はありますか? はい 1  
いいえ 0  
24 1年のうち特に忙しくなる時期はありますか? はい 1  
いいえ 0  
25 祝日に営業する場合、特別に忙しい日になりますか? はい 1  
いいえ 0  
26 会社はPCI DSS準拠を認定されていますか? はい 0  
いいえ 1  
わからない 1  
27 すべての端末(訳注:ピンパッド、無人決済端末等)はPCI PTS POIに認定されていますか? はい 0  
いいえ 1  
わからない 1  
28 店舗は支払カード詐欺(訳注:カード情報窃取、スキミング等)の攻撃に遭ったことがありますか? はい 1  
いいえ 0  
わからない 1  
29 店舗は過去6カ月以内に侵入窃盗の被害に遭いましたか? はい 1  
いいえ 0  
30 店舗には無線のネットワーク接続がありますか? はい 1  
いいえ 0  
31 休業中、店舗では侵入警報による監視あるいはビデオ監視を備えていますか? はい 0  
いいえ 1  
  総合スコア  

リスクカテゴリー

すべての質問に回答しスコアを合計したら、全体の脆弱性スコアおよびその結果からリスクカテゴリーを判定します。

脆弱性スコア リスクカテゴリー
26以上 高リスク
17~25 中リスク
16以下 低リスク

出所:PCI SSC「Skimming Prevention: Best Practices for Merchants Version 2.0」を元に意訳

まとめ

後編では、対面/POS加盟店が直面する脅威であるPOSマルウェアと、より広い概念であるスキミングについて、PCI SSCの各種参考資料の紹介とあわせて解説しました。
大規模な対面/POS加盟店がPCI DSSに準拠するには、POS入れ替え時期の考慮などがあり、長期間を要することになるでしょう。カード情報の保護が十分でない状態が長期間続けば、情報流出リスクも高まるのは必然です。そのような状況で何から始めるべきか、検討のきっかけになれば幸いです。

参考リソース

Writer Profile

セキュリティ事業部
セキュリティコンサルティング担当 チーフコンサルタント
池谷 陽(CISSP、CFE、QSA、PA-QSA)

セキュリティ診断部門において、ネットワーク診断、システム基盤構築 ソリューションの研究開発に従事後、2009年よりPA-DSS、PCI DSSの準拠支援および審査を担当。POSベンダーや決済サービス事業者向けの支援・審査実績を多く有する。


対面/POS加盟店が考慮すべき5つのポイント(後編)