日本のクレジットカード情報が狙われている オリンピックに向けてPOS端末のIC化が急務

相次ぐ不正事件を踏まえて、2014年10月にはオバマ大統領がカードセキュリティに関する大統領令に署名し、国を挙げてICチップ対応のクレジットカード普及に乗り出した。

画像を拡大

大手情報セキュリティ会社のトレンドマイクロによれば、2014年にPOSシステムを標的とする不正プログラムの全世界での検出台数は491台、前年比で22倍に達した。

日本での検出は8台にとどまったが、同社の染谷征良・上級セキュリティエバンジェリストは「米国の事態は対岸の火事ではない。日本のPOSシステムはいつ被害に遭ってもおかしくない」と警鐘を鳴らす。

POS端末のメモリに暗号化されていない情報

POSシステムは商品を販売した時点でその情報(何がいくつ売れたか、など)を記録し、在庫管理や販売戦略に活かす仕組みだ。同システムでは商品情報だけでなく、顧客情報やクレジットカードなどの決済情報も合わせて管理される。実はそこに落とし穴がある。

トレンドマイクロの染谷征良氏はPOSシステムの問題点を指摘する

POS端末では通常、クレジットカードに記録されている磁気情報が読み取られる。だが、多くの場合、磁気情報は暗号化されていない平文のままで、いったんPOS端末のメモリに一時的に保存される。ここに目を付けた「POSマルウエア(悪意のあるソフトウエア)」と呼ばれる不正プログラムがメモリ上のカード情報を盗み取る。

POSマルウエアの侵入経路はさまざまで、「米国の被害事例では長期にわたって気づかずに放置された結果、大量の情報漏えいにつながっている」（前出の染谷氏）。POS端末がインターネットにつながっていなくても、本部のコンピュータシステムがインターネットと接続されていれば、「そこから入り込んでデータを盗み取ることは可能だ」（染谷氏）という。