POSを狙ったマルウェアによって、大規模なものでは数千万人分の個人情報やクレジットカード情報が盗まれるなどの被害がすでに米国では複数社で起きている。それでも、日本における備えは極めて遅れていると言える。
「当社はクローズドシステムなので安全です」という話もよく聞かれるが、たいていの場合、事務系ネットワークとつながっていたり、店舗内の事務用PCとつながっていたりする。こういう状態は到底クローズドネットワークとは言えない。むしろ危険度では「いつ感染事案が起きても不思議ではない」レベルだろう。
もし、日本でPOSを狙ったマルウェアが大量に感染した場合どうなるであろうか?POSレジは使用できなくなるために、キャッシュレジスターとしての機能以外は使えなくなるだろう。ある報道では、日本のPOSレジのほとんどはWindows XPであるとされている。仮にウイルスワクチンが導入されていたとしても、今のマルウェアには全く無力である。
POSレジ本体に感染する場合には、読み込まれたクレジットカード情報や会員情報などをメモリから読み出したりすることが、海外の事例でわかっている。Windows XPの場合、UACの仕組みなどがない上に、パッチがほとんど適用されていないことが想定されるので、管理者権限が奪取されてしまう可能性が高い。米国のターゲット社その他で起きた大規模な漏洩事案では、管理者権限が奪われてメモリからクレジットカード情報などが読み出されてしまった。
一方で、POSを狙ったマルウェアというと、POSレジ本体に感染する、と思われがちだが、そればかりではない。POSは、端末であるPOSレジだけでなく、情報を管理する管理サーバや、決済システムなどとの連動が行われている。最近のPOSレジでは各社独自の会員管理なども組み込まれており、ポイント計算などもPOSレジ内で行われることも多い。
会員管理を行っている場合には、会員情報データベースにアクセスしていると思われることから、購入履歴その他の個人情報が盗まれてしまう可能性もある。
このようなPOSを設計した段階では、現在のようなサイバー攻撃を想定していなかったと思われる。安全なクローズドシステム上での動作が前提であったことだろう。それが、今のようなサイバー攻撃の中では時代遅れになってしまったのだ。しかし、先に述べたように関係者の反応は鈍い。
POSに対するセキュリティの警鐘を鳴らすのは簡単かもしれないが、対策を施そうとすると莫大な手間とコストが生じてしまう。メモリから読み出せないようにクレジットカード情報の暗号化や会員情報管理システムのセキュリティ対策などを考えると、最悪の場合POSレジのハードウェアそのものを入れ替えたり、会員管理システムなどの基幹システムそのものも要塞化するなどの根本的なシステム再構築が必要になるかもしれない。
従って、被害に遭うことが確実でないと、対策にコストをかけられないだろう。しかし、POSでマルウェアに感染し、業務停止、風評被害その他による売り上げ低下などのリスクを考えると早急に対策を進めるべきであろう。
いずれにしてもPOSのシステムとしての根本的な再設計が必要となり、ハードウェアでの対応が伴う場合には、相応のコストと時間が必要となる。
そして、米国のターゲット社の事例を参考にするのであれば「遠隔管理」についても点検と見直しが必要になる。遠隔管理を外部委託している場合、その会社がマルウェアに感染してしまうとそこから自社のPOSにマルウェアが侵入してしまう。米国のターゲット社では、空調管理会社のネットワークからマルウェアが侵入したという報道もある。
まず、できることから手をつけるとすれば、以下のような暫定的な対策が考えられる。
- 事務系ネットワークからの「完全な」隔離
- すでにマルウェアに感染していないか、というデトックス
- メンテナンス用USBメモリの検疫
- 遠隔管理会社からのアクセス経路の制限
- POSとインターネットの「完全な」隔離
これだけでも相当な時間とコストを要するであろうが、早急な対策を行うべきであろう。S&Jでは、マルウェア感染事案を依頼されることが多いが、そのほとんどで「いつか来るとは思っていたが」という声を聞く。最近の報道でサイバー攻撃の心配はしていたものの、今来るとは思っていなかった、ということだろう。
そして、事案が起きてからの対応の場合、担当者は対応に忙殺される上に、調査や再発防止策などで莫大とも言える費用が必要になる。標的型攻撃などのサイバー攻撃に事前に備える企業は非常に少ないうえに、対策に勘違いや抜けがあることも少なくない。
上記に挙げた暫定対策の中でも事務系ネットワークからの「完全な」隔離は非常に難しい。イメージとしては、メールを受け取ったりWeb閲覧をする事務端末からは完全にアクセスできないようにしなければならないのだ。メールを受け取る端末は標的型攻撃のターゲットになる可能性があるので、マルウェアを最初に呼び込む起点になると考えられる。Web閲覧できる端末も、マルウェアを知らないうちに引き込んでしまう可能性が高い。
また、POSとインターネットの「完全な」隔離の意味するところは、POSから情報がインターネットを通じて外部に送信できないようにする、という意味である。これは、社内プロキシサーバやファイアウォールでインターネットにアクセスできる事務端末のような状態であれば、改善しなければならない。また、米国での感染事案の報告を参考にするならば、踏み台となるサーバを介しても外部へのアクセスを防止しなければならない。これは、直接インターネットに行けない状態だとしても、POS管理サーバやファイルサーバなどがインターネットへのアクセスが可能な場合、そのサーバが踏み台になってしまうことが考えられるので、そのような外部アクセスを防止しなければならない。
別な機会に書こうと思っているが、「クローズドシステムだから」というのは都市伝説程度なのだ。経営者も、システム担当者から、そのように聞かされていることが多いようであるが、残念ながら間違いである。
