POSウィルス感染のリスクを軽減し、POS端末の個人情報を守る

顧客情報を抜き取る犯罪が全世界に被害をもたらしています。

有名な犯罪手法としてはスキミングがあり、クレジットカードの磁気情報を装置で読み取る方法で、カード偽造の常套手段です。最近では、カードリーダーやレジ、果てはPOS（販売時点情報管理）サーバーにまで侵入して更に多くの顧客情報を盗み取るPOSウィルスの感染被害が広まっています。

1.POSシステムの顧客情報を抜き取る不正アクセス

POS端末は性質上、顧客の年齢や性別、会員カードなどに紐付けられた様々な個人情報を収集し、接続しているPOSサーバーに集積しています。POS端末とPOSサーバーは、本来決済や社内管理システム以外の通信を想定していない閉ざされたネットワークです。クレジットカード情報なども、端末内に保持することはなく、すぐに暗号化されてカード会社に送られています。そのため、安全性の高いシステムだと考えられてきました。

 しかし、アメリカでは2013年に顧客情報7,000万人分のデータが流出するなど、大規模な情報漏洩が発生しました。即時に暗号化し、内部にクレジット情報を保存しないはずのPOS端末に感染したマルウェアは、カード会社が支払いの承認をするまでの僅かな時間で、POS内部に一時的に保持されたカード番号などを抜き取ります。

このようなマルウェアはおよそ6年前から出回っていますが、実は2000年頃には既に被害が発生していました。これは、Windowsを搭載したPOSシステムが普及したことにより、不正アクセスのターゲットが広まったのが原因だといわれています。

2.POS端末からのインターネット接続が感染経路に成り得る

今はPOSシステムの普及により、POS端末は多様になりました。特に小売店に普及している汎用OSを使用したPOS端末には、インターネットへの接続機能や、USBメモリの認識機能が搭載されているケースが多々あります。これは一般的にレジスター機能付きのPOS端末は高価で大型なため、タブレットPCを使用したPOS端末も多く使用されるためです。こうしてインターネット回線を介し、更にクラウドを利用して安価にPOSシステムを導入する技術が発達していく反面、セキュリティ面での対策がより一層重要度を増しています。

インターネットを経由した感染や、安易に接続したUSBメモリなどからの感染はよくあるケースです。また、専用のネットワークを使用しているPOSシステムであっても攻撃の対象になり得ます。

3.POSサーバーと情報を守るためには

実際にアメリカで起きた顧客情報の流出事件で使用されたPOSウィルスは、対策ソフトが検知できないものでした。このようなリスクを軽減するには、どうすればよいのでしょうか？

まず、WindowsタブレットやiPad、Androidタブレットなど、汎用OSを使用しているPOS端末を既に導入している場合は必ずOSを最新のものにアップデートし、未知のウィルスを検知するヒューステリック機能を持ったセキュリティソフトを導入して、POSレジという目的以外には使用しないことが大切です。

また、USBメモリはメンテナンス時以外に接続しないことを徹底する必要があります。アプリ型のPOSレジの場合、つい他のことにも端末を使いたくなりますが「顧客情報を預かる専用端末」という意識を持つこと、そして「対策していても感染の脅威はあり得る」という日頃からの心構えも大切です。
セキュリティソフトでホワイトリストに登録したソフトだけが動作するように設定するだけでも、感染リスクの軽減に繋がります。