PC USER Pro

Windowsの決済端末から個人情報をどう守る? 米NYで見た最新動向鈴木淳也の「Windowsフロントライン」(1/2 ページ)

» 2016年02月02日 17時30分 公開

狙われるWindowsベースのPC POS

 多くの人々にとって気付きにくい場所でありながら、Windowsデバイスは身近に存在して日々の生活を支えている。その典型的なものが、街頭や店舗内に設置される銀行ATMのような情報機器であるキオスク端末、公共施設のデジタルサイネージや電子掲示板、小売店でのPOS(Point of Sale)端末といった機器だ。最近では液晶ディスプレイやタッチパネルを採用したインテリジェントな自販機も増えてきており、より身近になった。

 一方で、こうした機器もまた悪意のある第三者によるハッキングの標的となっており、機器の影に潜んであなたのクレジットカード番号など重要な情報を狙っている可能性があるため、注意が必要だ。

WindowsのPOS/キオスク端末から個人情報をどう守るか。米ニューヨークのイベントで見た最新の取り組みをお届けする

米Hyatt Hotelsでカード情報流出 日本のホテルも該当

Hyatt Hotels Hyatt Hotelsにおけるハッキング事件の舞台となったホテルの1つ「Grand Hyatt New York」(写真中央のビル、手前はGrand Central)

 最近こうしたデバイスとハッキングの組み合わせで話題になった事例がある。ホテルチェーンの米Hyatt Hotelsによるクレジットカード情報漏えい事件だ。

 2015年12月〜2016年1月にかけて同社が発表した内容によれば、2015年8月〜12月に世界54カ国、250拠点でカード情報を秘密裏に送信するマルウェアが同社の決済システム内で発見され、同期間に該当拠点のレストランやスパ、フロントデスクなど特定施設を利用した場合、カード情報を盗まれた可能性があるという。

 マルウェアの発見された拠点リストは全て公開されており、該当者はカードの利用履歴に注意しつつ、その旨を同社CSIDの顧客保護センターに知らせてほしいと発表している。

 本件では、日本国内のハイアットリージェンシー箱根リゾート&スパ、ハイアットリージェンシー京都、パークハイアット東京、アンダーズ東京も被害にあっているので注意が必要だ。2015年8月5日〜12月8日に、カード名と番号、有効期限、セキュリティコードを含む個人情報が漏えいした可能性がある。ホテル側が顧客全員に情報を通知せず受け身になっている理由は、影響を受けた全員の連絡先を把握していないことによるようだ。

日本で被害にあったホテル群 Hyatt Hotelsグループでマルウェアの発見された拠点リスト。日本国内では、ハイアットリージェンシー箱根リゾート&スパ、ハイアットリージェンシー京都、パークハイアット東京、アンダーズ東京が該当する

 Hyattについては現在も調査段階にあり、詳細が公開されていない部分があるが、ここ最近になって「POS」をターゲットにしたハッキング攻撃が相次いでおり、Hyattの事例もまたその延長線上にあると考えられている。

米Targetの大規模漏えい事件からPC POSセキュリティ見直しへ

 こうした事件で有名なのが、2013年12月に発覚したディスカウントチェーン大手の米Targetにおける大規模なカード情報漏えいだ。ホリデーシーズン商戦真っ盛りの買い物客のカード情報が狙われ、クレジットカードやデビットカードの情報4000万件あまり、カード情報とは別に7000万人もの個人情報が漏えいした。流出した個人情報は闇市場で大量に売り出され、米国では大きく報道された。

米Target ディスカウントチェーン大手の米Target(写真はロサンゼルスの店舗)

 それではPCをベースにしたPOSでは、どのように個人情報が盗まれるのだろうか。PC POSではカードリーダーから読み込んだ情報をセンターに送信して決済処理を行うが、現在では個人情報管理やセキュリティリスクの観点からPC内部にデータが保存されることはほぼないという。

 一方で、Targetのケースでは「Memory Parser」と呼ばれるテクニックが利用されたと言われている。具体的には、データ処理のため、一時的にPC内のメモリに書き込んだカード番号など決済情報を常駐していたマルウェアが拾い出し、それを外部に送信して盗み出していたようだ。これにイベントログなどを消去するテクニックも併用すれば、発見までに時間がかかる可能性が高い。

 なお、感染経路については、Target社内のセンター側のサーバを経由した説が濃厚で、犯人がリモートでひそかにコードを送り込んで拡散させたとみられている。

 過去の連載でも少し触れたが、こうしたクレジットカード情報を読み取る機能を持ったPOSやキオスク端末ではいまだにWindows XPが利用されているケースがあり、あるいはWindows XPでなくてもPOS用にカスタマイズされたWindowsシステムが用いられていることが多い。

 Targetの事件を契機に、米国ではPC POSのセキュリティ運用が見直された。また本件は、クレジットカードを磁気ベースのものから、チップベースのもの(EMV)へと移行するための宣伝にもなったと言われている。

 米国では2015年10月以降に「Liability Shift(ライアビリティシフト)」が施行され、EMVに対応した決済端末を導入しない小売店舗では、カード情報漏えいによる被害を銀行ではなく小売店側が負うという責任移譲(ライアビリティシフト)が起きている。

 EMVは仕組み上、磁気カードのようにカード番号など決済に必要な情報が素の状態で漏えいすることが難しい。そのため、二重の意味で小売店側にとって、導入に向けた取り組みが必要なものとなっている。

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

アクセストップ10

2024年04月25日 更新
  1. ワコムが有機ELペンタブレットをついに投入! 「Wacom Movink 13」は約420gの軽量モデルだ (2024年04月24日)
  2. 16.3型の折りたたみノートPC「Thinkpad X1 Fold」は“大画面タブレット”として大きな価値あり (2024年04月24日)
  3. 「社長室と役員室はなくしました」 価値共創領域に挑戦する日本IBM 山口社長のこだわり (2024年04月24日)
  4. 「IBMはテクノロジーカンパニーだ」 日本IBMが5つの「価値共創領域」にこだわるワケ (2024年04月23日)
  5. Googleが「Google for Education GIGA スクールパッケージ」を発表 GIGAスクール用Chromebookの「新規採用」と「継続」を両にらみ (2024年04月23日)
  6. わずか237gとスマホ並みに軽いモバイルディスプレイ! ユニークの10.5型「UQ-PM10FHDNT-GL」を試す (2024年04月25日)
  7. バッファロー開発陣に聞く「Wi-Fi 7」にいち早く対応したメリット 決め手は異なる周波数を束ねる「MLO」【前編】 (2024年04月22日)
  8. ロジクール、“プロ仕様”をうたった60%レイアウト採用ワイヤレスゲーミングキーボード (2024年04月24日)
  9. 「Surface Go」が“タフブック”みたいになる耐衝撃ケース サンワサプライから登場 (2024年04月24日)
  10. あなたのPCのWindows 10/11の「ライセンス」はどうなっている? 調べる方法をチェック! (2023年10月20日)
ランキングトップ30
最新トピックスPR

過去記事カレンダー

2024年

2023年

2022年

2021年

2020年

2019年

2018年

2017年

2016年

2015年

2014年

2013年

2012年

2011年

2010年

2009年

2008年

2007年

2006年

2005年

2004年

2003年

Feed Back