日本のPOS端末が狙われる?組込みシステムのセキュリティ対策

この記事をtweetする このエントリーをはてなブックマークに追加

アナタの知識が会社を救う! セキュリティ強化塾

日本のPOS端末が狙われる?組込みシステムのセキュリティ対策

2015/02/17


 会社のPCやサーバーにアンチウイルスツールの導入は当たり前、セキュリティパッチの早期適用も抜かりなく行われていることだろう。しかし「隠れWindows端末」はどうか?資産管理から漏れている幽霊PCの話ではない。現実に日々の業務に大活躍しながら、セキュリティ対策の面では最初から放っておかれている機器がある。POSレジスターなど業務専用端末、複合機、デジタルサイネージ…これらの中にはPC同様の汎用OSが使われていることが少なくない。海外では、こうした「組込み端末」からの情報漏洩が重大な被害をもたらしている。アメリカのPOSシステムで甚大な被害をもたらしたウイルスと同種のウイルスが昨年すでに日本に上陸しており、今年は国内POS端末など組込み機器が重大な情報漏洩事件を引き起こすことが危惧される。これまで気にも留めていなかった組込み機器のセキュリティだが、これからはPCやサーバーと同様なセキュリティ対策が不可欠。しかしどうすれば?今回は組込みシステムのセキュリティ対策の勘所を考えていく。

POS

POSシステムに仕込まれたウイルスにより7000万人の個人情報、4000万件カード等情報が流出!

 一昨年のクリスマス商戦にあたる11月27日〜12月15日の間、米国小売業大手Target社の米国内店舗で利用されたクレジットカードおよびデビットカード情報が4000万件、顧客の氏名・住所・電話番号・メールアドレスなど個人情報7000万人分がPOSシステムに仕込まれたウイルスにより流出した。昨年の日本国内の過去最大規模の情報漏洩事件(2070万件の顧客情報が流出)に比較してもその規模の大きさに驚かされるが、何より深刻な金銭被害が発生しかねないカード情報の大量流出が不安をかきたてた。一方、世界の小売業はじめ物品販売や物流、チケット予約・販売など、顧客のクレジットカードを店頭や客先訪問で利用する業務を行う企業では、情報漏洩規模もさることながら、信頼しきっていたPOSシステムに意外なもろさがあることに慄然としたのではないだろうか。
 POSシステムはそもそも決済サービスや社内の管理システム以外との通信を想定していない。加えてクレジットカードなどの情報は端末内に保持せず、読み取ったら即座に暗号化してVPNなど安全性の高い通信経路で送信する仕組みをとることがほとんどだ。端末内、あるいは管理サーバー内で情報を保管する場合でも暗号化して、たとえそのデータが持ちだされても解読できないようにしている。いわば閉じられた環境の中だけで運用されているシステムなので、内部不正がない限りはウイルス感染や不正アクセスの危険はほとんど考えなくてよいと思われてきた。そこに起きたのがこの大規模情報漏洩事件だ。アメリカでは同種の事件がその前からたびたび発生しており、当の事件後の昨年9月にも、ホームセンター大手のHome Depot社から顧客のクレジットカード情報が5600万件流出し、アンダーグラウンドマーケットで販売される事件が起きている。ちなみにこちらの事件では5ヵ月間にわたる攻撃により、アメリカ国内で同社が展開する2200店舗のほぼすべてから情報が漏洩したとされている。
 日本国内でも、昨年からPOS端末に感染して情報搾取を狙うウイルスが発見されており、金銭的な被害はまだ公表例がないものの、脅威はすぐ間近にある。
 さて、閉じられているはずのPOSシステムにウイルスはどうやって忍び込むのだろうか。1つの経路は、組込みシステムへの外部機器接続だ。これまでの例では、従業員がウイルスに感染したUSBメモリを1台の端末に接続して端末がウイルス感染し、そのウイルスがネットワーク内に感染を広げるケースがあった。また、同一LANにPOS端末以外の業務用端末が接続されている場合、業務用端末のメール受信やインターネット接続などの行動でウイルス感染すると、古くからある大規模感染事例と同様に、POS端末を含めたLAN全体に感染が広がることもある。
 さらに気をつけたいもう1つの経路は、外部からは見えないネットワークを内側から探って侵入する手口だ。例えば図1に見るように、まず標的企業の取引先企業のユーザーのアカウントを何らかの方法で奪って取引先企業のシステムにひとまず侵入し、日頃から業務で使っている標的企業との通信経路を用いて標的企業のシステムに侵入を企てる。それに成功するとウイルスを送り込んでリモートコントロールを可能にし、各種の攻撃手法により社内ネットワークの調査やウイルス感染を行う。やがては標的企業の業務ネットワークとは区分けされたPOSシステムなどの専用ネットワークにまで侵入を広げ、端末にウイルスを仕込み、情報窃取を行う仕組みができてしまう。アメリカの事件では、このような手口が使われたのではないかと想定されている。

図1 POSシステムを狙う攻撃の想定イメージ
図1 POSシステムを狙う攻撃の想定イメージ

 今日のウイルスの怖さは、感染力よりも攻撃の多様性だ。1台の端末がウイルス感染すると、攻撃者のC&C(司令)サーバーからのリモートコントロールが行われ、ネットワーク内の端末の調査が行われたうえ、弱点を見つけては攻撃用のツールをいくつも送り込んで侵入を深めていく手法がとられるようになった。
 このような攻撃は、POSシステムに限らず、汎用的なOSを利用した組込みシステムすべてに応用される可能性がある。ユーザー企業側としては、こうした攻撃に対してどのように対策できるだろうか。以下で考えていこう。


1

組込みシステムの弱点とは?

1-1

組込みシステムは閉じられたネットワーク上で運用するから安全…という誤解

 組込みシステムとは、POS端末やチケット発行端末などのように特定目的のために作られたコンピュータシステムのことを言い、各種の産業用機器や複合機などのオフィス機器に幅広く利用されている。POSシステムのように端末が何台もネットワークに接続され、ストアコントローラーなどのPOS管理サーバーが各端末からの情報を一元管理する形態をとる場合もあれば、スタンドアロンでネット接続しないものもある。多くの場合は店舗内や特定拠点のフロア、工場内など、独立したネットワークで運用され、端末が個別に直接外部ネットワークと通信できるようには設計されていない。これが安全性の1つの根拠になっていて、「閉じたネットワーク」での運用だから安心と、セキュリティ対策がPCやサーバーのようには配慮されてこなかった一面がある。
 しかし、社内の他のシステム、あるいはカード決済などのオンラインサービスと連携するシステムも多く、一見閉じているようで、実は社内および外部のネットワークとの接点をもつシステムがほとんどだ。また中小の店舗ではPOS端末が直接クラウド上のサービスに接続している場合も多い。さらに、普段は外部ネットワークに接続していなくとも、端末のメンテナンスに備えて外部からのリモートメンテナンス用の通信経路を確保しているシステムも多い。つまり、ほとんどがどこかで他のネットワークに接続可能になっており、インターネットと直接的に、または間接的に、つながる可能性が高いのだ。
 今日のネットワークからの攻撃は複雑化しており、直接攻撃対象の端末を狙うのではなく、それに接続する可能性のある、もっと攻撃が成功しやすいPCやサーバーをまず狙う。そこにウイルスを感染させ、リモートコントロールを可能にしてからじっくりとネットワーク内を調査して、攻撃可能な弱点を探る。その過程でPOSシステムへの接点となるサーバーに脆弱性が見つかれば、POS端末を攻撃するためのウイルスを送り込み、その先のネットワーク上の端末にウイルスを感染させて機密情報を窃取、同時に仕込んだバックドア(攻撃者との通信窓口/情報流出の出口)を通して外部に送信してしまう。このような手口によれば、直接侵入できる入口はなくても、段階を踏んでじわじわと一見「閉じられた」ネットワークに到達できるわけだ。
 また、企業の内部関係者が不正を働くケースも考えに入れると、ネットワークが閉じられているかどうかはまったく意味がなくなる。機密情報の保存場所がわかっていれば、それをUSBメモリなどのリムーバブルメディアにコピーするだけだ。これを防ぐために、POSシステムの場合ならカード情報などは読取り次第に暗号化し、端末内には保存せずに、暗号化したまま外部の決済サービスや管理サーバーに送信してしまうようになっている。暗号化されていれば、仮に外部に持ちだされたとしても、解読される可能性が低く、安全だと考えられているわけだ。しかし、これにも抜け道がある。

セキュリティ情報局にご登録頂いた方限定で「日本のPOS端末が狙われる?組込みシステムのセキュリティ対策」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


POS/日本のPOS端末が狙われる?組込みシステムのセキュリティ対策」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「POS」関連情報をランダムに表示しています。

POS」関連の製品

payShield HSM ファミリー 【タレスジャパン】 AsReaderApps 【アスタリスク】 法人MVNOサービスの実態を解説。データシェアやM2M対応が主流に 【ニフティ】
暗号化 その他基幹系システム関連 モバイル通信サービス
カード発行・決済取引に特化したアプリケーションと組み合わせて利用するHSM。国際ブランドはもちろんEMV・PCI・Global Platformなど金融関連のセキュリティ標準を満たす。 iPhone/ iPod touchにインストールして使用するクラウド型業務アプリケーションサービス。バーコードだけでなく、RFID対応のアプリケーションもある。 気になる法人MVNOサービスの実態を解説――データシェアやM2M対応が主流に

POS」関連の特集


ビッグデータ利活用は「多額のシステム投資」「マーケティングやデータ分析の専門家」が必要といった点で、…



クラウド時代に問い直される情シス部門の存在価値。「データサイエンティスト」の役割を担うことで拓ける情…



 マネーフォワード(東京都港区、社長CEO 辻 庸介氏)は6月20日、中小企業・個人事業主向けクラウ…


POS」関連のセミナー

CRM Insight分析体験セミナー 【NTTデータ数理システム】  

開催日 2月24日(金)   開催地 東京都   参加費 無料

CRM Insightは、ブラウザ上で動作する手軽なCRM分析システムです。POSデータや会員データをサーバー上においておけば、クライアント側ではブラウザを起動…

「基幹系システム」関連 製品レポート一覧

このページの先頭へ

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3


30007535


IT・IT製品TOP > 基幹系システム > 特定業種向けシステム > 特定業種向けシステムのIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ