WEPを禁止する新基準、クレジットカード業界が作成

クレジットカード業界「PCI」の新規定では、クレジットカード情報の処理過程でWEPを使うことを一切禁止した。

» 2008年10月15日 07時58分 公開
[ITmedia]

 小売り大手TJ Maxxからのクレジットカード情報の漏えいなど、相次ぐ情報流出事件を受けて、クレジットカード業界がデータセキュリティ基準(PCI DSS)の変更を発表した。英セキュリティ企業Sophosの研究者がブログで伝えている。

 Sophosのグラハム・クルーリー氏のブログによると、クレジットカード業界PCIの新規定では2010年以降、カード情報を店頭の端末からサーバに送るといった情報処理の過程で、無線通信の暗号化技術WEPを使うことを一切禁止した。2009年3月31日以降、WEPを使った新システムを導入することも禁止した。さらに、Windowsへのウイルス対策ソフト導入だけでなく、全OSにマルウェア対策を義務付けた。

 今回の基準変更は、WEPの利用をやめてWi-Fi Protected Access(WPA/WPA2)など、より強力な暗号化基準に切り替えることの重要性を裏付けるものだとクルーリー氏は解説する。

 情報流出を引き起こしたTJ Maxxなどは、クレジットカード情報の暗号化は行っていたものの、簡単に破られてしまうWEP技術を使っていたとみられるという。

 実際にはクレジットカード情報を扱っている企業は顧客情報が犯罪者の手に渡ることのないよう、PCIのコンプライアンスよりもさらに進んだ対策を講じる必要があるとクルーリー氏は指摘している。

過去のセキュリティニュース一覧はこちら

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ