日本のクレジットカード情報が狙われている?
Sadowski氏にはもう1つの顔がある。同氏はクレジットカードブランドの推進協議団体であるPCI SSC(Payment Card Industry Security Standards Council)のアドバイザリーボードメンバーでもある。
現在、日本ではクレジットカード情報を窃取する販売時点情報管理(Point of Sales:POS)マルウェアが確認されるなど、カード情報を狙った攻撃が急増している。Sadowski氏は「POSネットワークでも、(セキュリティ対策として)可視化は有用」と指摘する。
――2020年に東京五輪が開催される。外国からの訪問客が増加する中、小規模の小売業者もクレジットカード対応が急務となっているが、カード情報を狙った攻撃も増加している。
大量のクレジットカードデータの入手をもくろむサイバー犯罪者にとって、脆弱性のあるPOSシステムは格好の攻撃対象となる。まずは犯罪者がどのポイント(POS端末や企業内ネットワーク、サーバ)を狙っているのかを把握し、その目的を知る必要がある。クレジットカードのデータを狙う場合、POS端末に攻撃を仕掛けるマルウェア(メモリ読み取りマルウェア)と、収集したデータが格納されているPOSネットワーク上のサーバを狙うものがある。
――企業はどのような対策を講じればよいか。
大枠では、国際的なセキュリティ統一基準である「PCI DSS(Payment Card Industry Data Security Standard)」を実装することだ。POS端末とサーバ間のやり取りを暗号化する「ポイントトゥポイント暗号化(Point-to-Point Encryption:P2PE)」の導入も考えるべきだろう。ただし、POSマルウェアの種類によっては、暗号化してある通信にも攻撃を仕掛けるものも存在する。

「RSA Conference 2015」のフリースペースに設けられた啓発コーナー。「子どもが安全にサイバー環境を利用するには?」の問いに大人は…

「パスワードは絶対シェアしない」「止まって、考えて、クリックしろ」とのアドバイス
米国ではクレジットカード情報の「トークン化」(システム上でクレジットカード番号を別の乱数で置き換えたIDを作成し、内部での処理に用いる手法)も導入されている。これには一定のコストがかかるが、データ侵害の被害総額を考えれば、必要コストととらえるべきだろう。
こうした暗号化やトークン化の実装は、サービスプロバイダー(カード会員データの処理、保管、送信を担う事業者)が、付帯サービスとして提供しているケースも多い。今後はこうした技術が、支払いプロセスの中に組み込まれていくだろうと考えている。
さらにエンドポイント処理やPOSネットワークでも「どの通信が、どのように振舞ったか」を可視化、分析できるようにし、エンドポイントで収集されたマルウェアの情報を共有できる環境を構築することも重要だ。これであれば「ゼロデイ攻撃」にも対応できる。