POSシステムへのマルウェア感染を防ぐロックダウン式セキュリティとは

諸外国、特に米国ではPOSシステムがマルウェアに感染し顧客情報が大量に流出する事件が後を絶ちません。2014年2月には世界11カ国でPOSマルウェア「ChewBacca（チューバッカ）」の感染が見つかりました。同年8月には米国セキュリティ機関が、POSマルウェアに相当数の企業が感染しているとして注意を呼びかけています。POSシステムから情報を抜き取るマルウェアは日々進化し、手口を巧妙化しながら感染と脅威を広げています。この機会にぜひ一度、自社のシステムやネットワークなどについてご確認されてはいかがでしょうか。

1.日本にもすでに大規模な上陸の予兆

日本でもPOSレジの普及率は決して低くないのにも関わらず、今まで海外のようなPOSシステムからの大規模な流出事故が起きていないのは何故でしょうか？

悪意ある攻撃者にとって、POSシステムにマルウェアを感染させて情報を抜き取る最大の目的は、POSを通して精算に利用されるクレジットカードの情報を取得することです。そのため、日常的な支払いをカードで決済することが多いアメリカが狙われやすく、現金精算が中心の日本の小売店は、比較的狙われにくかったと考えられます。

しかしながら、この日米の文化の違いをもって「日本のPOSサーバーは狙われない」と考えることは危険です。既に2015年2月16日にはPOSを狙ったマルウェアが日本国内で6件確認されたという報道もあり、大規模流出は既に海の向こうの話ではなくなっています。

2.POS端末からとは限らない巧妙化する手口

基本的にPOSシステムは組込みシステムによって閉じたネットワークで運用されているため、感染経路はPOS端末からと思われがちですが、実際にはターゲット企業の関連企業のPC端末から感染経路を作り、時間を掛けてネットワークに侵入して端末へと感染を広げたケースもあります。

クローズドなシステムなので安全という神話は既に崩壊しており、POS端末に対するウィルスソフトの導入と対策だけでは、サーバー上に保存された顧客情報を保護するには足りない状況にあります。

数年前から頻発している、日本人の文化を狙い撃ちするような「お悔やみメール」などから社内のPCにマルウェアを感染させた手口が、POSマルウェアに利用されないとも限りません。POSサーバーを守るためには、関連するすべての端末でセキュリティの見直しを行うとともに、運用者のリテラシーの向上を図る必要があります。

3.侵入を水際で防ぐロックダウン式のセキュリティとは

近年利用率が上昇しているクラウドを利用して、iPadなどの端末に専用のアプリをインストールすることで手軽に導入できるPOS端末は、POS以外の用途に使用することでマルウェア感染の機会を拡大してしまいます。

POSに利用する端末は必ず用途を特化し、基本的にPOS以外の目的で使用しないことが必須となります。セキュリティアプリを導入していても、マルウェアの変化に対応が間に合わないケースも多く、日常的に多くのカード情報を扱う端末のセキュリティとしては不安が残ります。

そこで注目されているのが、システムを特定用途化するロックダウン式のセキュリティです。従来のPCに導入されているパターンファイルに基づいたブラックリスト方式と異なり、事前に許可リストに登録されたファイルのみが実行可能な方式です。そのため、パターンファイルにない未知の脅威や許可されていない実行ファイルに対して、セキュリティ面で強いアドバンテージを持ちます。

POSという目的に限定されている端末は、他の用途に用いる必要がないため、このロックダウン式のセキュリティとは非常に相性が良く、日本では二木ゴルフが全POS端末に導入したことで話題になりました。このロックダウン式は、クラウド型のPOSレジを提供するサービスでは既に標準で導入している企業も多く、POSレジ導入を検討する際の一つの重要な目安ともいえそうです。