オフラインのクレジット決済は安全? - ペンタセキュリティ

ペンタセキュリティシステムズは12月15日、「クレジット決済におけるセキュリティ」に関する解説を公開した。

クレジット決済のために実店舗で設置する端末は「CAT(Credit Authorization Terminal)」と「POS(Point Of Sales)」の2種類がある。CAT端末は以前から使われているもので、スキャンして読み取ったカード情報をカード会社に送り、カード会社で受けとった認証を伝票に出力する機能を備えている。一方のPOS端末は、CATの基本機能以外に、商品管理や会員管理、在庫管理などの機能を搭載する。

これらの端末のうち、POS端末のほうがセキュリティ上のリスクが高い。POS端末は通常のコンピュータと同様にOSを搭載しており、インストールされているアプリを利用して決済処理を実行する。そのため、OSやアプリに脆弱性が存在した場合、攻撃の対象となる恐れがあるのだ。

特に危険とされているのは、クレジットカード内にある「トラック2」と呼ばれる領域内の情報。トラック2には、カードの取得日付や有効期間など、決済に必要な情報をすべて記録している。磁気には「トラック1」「トラック3」もあるが、これらには決済に必要な情報が記録されていない。トラック2は「米国銀行協会(ABA:American Bankers Association)」によって制定された。

万が一ハッカーにトラック2の情報と暗証番号が盗み出された場合、クレジットカードの持ち主でなくても決済が可能となってしまう。トラック2のデータは、価値の高い情報として国際闇市場で1件あたり4000ドル(約48万円)程度で取り引きされている。

また、決済情報は決済端末とカード会社間の通信も危険にさらされている。

インフラでは、決済端末とカード会社間との通信を暗号化することでセキュリティを確保しているものの、オフライン決済インフラで起きるセキュリティ問題のほとんどは、データ暗号化が徹底されていないことによるものだという。

一般的にPOS端末とカード会社のサーバとは直接通信するが、例外として間にPOSサーバが利用されるケースもある。POSサーバは、数多くの端末機が設置されている大型百貨店のような事業者で利用されている。POSサーバは、各POS端末機上で読み込まれたカード情報を収集するためのもので、収集したデータは分析して新たな経営活動などに役立てられる。POSサーバ上にはトラック2の情報が通常は保存されない。

ただ、暗号化や復号化のタイミングは往々にして異なる。トラック2の情報は端末で暗号化されてカード会社のサーバ上で処理されるが、トラック2以外の情報は、POSサーバの段階で処理される。暗号化・復号の鍵も別途管理しなければならず、セキュリティリスクを抱えることになる。