小売り大手TJ Maxxからのクレジットカード情報の漏えいなど、相次ぐ情報流出事件を受けて、クレジットカード業界がデータセキュリティ基準(PCI DSS)の変更を発表した。英セキュリティ企業Sophosの研究者がブログで伝えている。
Sophosのグラハム・クルーリー氏のブログによると、クレジットカード業界PCIの新規定では2010年以降、カード情報を店頭の端末からサーバに送るといった情報処理の過程で、無線通信の暗号化技術WEPを使うことを一切禁止した。2009年3月31日以降、WEPを使った新システムを導入することも禁止した。さらに、Windowsへのウイルス対策ソフト導入だけでなく、全OSにマルウェア対策を義務付けた。
今回の基準変更は、WEPの利用をやめてWi-Fi Protected Access(WPA/WPA2)など、より強力な暗号化基準に切り替えることの重要性を裏付けるものだとクルーリー氏は解説する。
情報流出を引き起こしたTJ Maxxなどは、クレジットカード情報の暗号化は行っていたものの、簡単に破られてしまうWEP技術を使っていたとみられるという。
実際にはクレジットカード情報を扱っている企業は顧客情報が犯罪者の手に渡ることのないよう、PCIのコンプライアンスよりもさらに進んだ対策を講じる必要があるとクルーリー氏は指摘している。
関連記事
- 無線LANのWEP暗号、60秒でクラッキング
ドイツの研究者が、WEP暗号を簡単に破る攻撃手法について研究論文を公開した。 - 有線と同等、のはずがそうではなかった暗号化の「予想外」 (1/3)
無線LANには3つの暗号化方式がある。その1つであるWEPは、標準でありながらなぜ脆弱だといわれてきたのか。ユーザーの運用自体に問題はなかったのか。新たに2つの暗号化が登場した背景を探る。 - 無線LANや携帯データ通信の落とし穴と対処策
モバイルアクセスで最も重要なのがセキュリティ対策だ。情報漏えいや不正アクセスといった脅威に巻き込まれないためにも、モバイル環境から企業ネットワークへ接続するときの安全対策をおさらいしよう。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.