オフラインのクレジット決済は安全? - ペンタセキュリティ

  [2015/12/18]

ペンタセキュリティシステムズは12月15日、「クレジット決済におけるセキュリティ」に関する解説を公開した。

CATそしてPOS

クレジット決済のために実店舗で設置する端末は「CAT(Credit Authorization Terminal)」と「POS(Point Of Sales)」の2種類がある。CAT端末は以前から使われているもので、スキャンして読み取ったカード情報をカード会社に送り、カード会社で受けとった認証を伝票に出力する機能を備えている。一方のPOS端末は、CATの基本機能以外に、商品管理や会員管理、在庫管理などの機能を搭載する。

これらの端末のうち、POS端末のほうがセキュリティ上のリスクが高い。POS端末は通常のコンピュータと同様にOSを搭載しており、インストールされているアプリを利用して決済処理を実行する。そのため、OSやアプリに脆弱性が存在した場合、攻撃の対象となる恐れがあるのだ。

特に危険とされているのは、クレジットカード内にある「トラック2」と呼ばれる領域内の情報。トラック2には、カードの取得日付や有効期間など、決済に必要な情報をすべて記録している。磁気には「トラック1」「トラック3」もあるが、これらには決済に必要な情報が記録されていない。トラック2は「米国銀行協会(ABA:American Bankers Association)」によって制定された。

万が一ハッカーにトラック2の情報と暗証番号が盗み出された場合、クレジットカードの持ち主でなくても決済が可能となってしまう。トラック2のデータは、価値の高い情報として国際闇市場で1件あたり4000ドル(約48万円)程度で取り引きされている。

また、決済情報は決済端末とカード会社間の通信も危険にさらされている。

インフラでは、決済端末とカード会社間との通信を暗号化することでセキュリティを確保しているものの、オフライン決済インフラで起きるセキュリティ問題のほとんどは、データ暗号化が徹底されていないことによるものだという。

一般的にPOS端末とカード会社のサーバとは直接通信するが、例外として間にPOSサーバが利用されるケースもある。POSサーバは、数多くの端末機が設置されている大型百貨店のような事業者で利用されている。POSサーバは、各POS端末機上で読み込まれたカード情報を収集するためのもので、収集したデータは分析して新たな経営活動などに役立てられる。POSサーバ上にはトラック2の情報が通常は保存されない。

ただ、暗号化や復号化のタイミングは往々にして異なる。トラック2の情報は端末で暗号化されてカード会社のサーバ上で処理されるが、トラック2以外の情報は、POSサーバの段階で処理される。暗号化・復号の鍵も別途管理しなければならず、セキュリティリスクを抱えることになる。

オフラインの決済インフラの構造とデータの流れの概要



IT製品 "比較/検討" 情報

転職ノウハウ

あなたが本領発揮できる仕事を診断
あなたの仕事適性診断

シゴト性格・弱点が20の質問でサクッと分かる!

「仕事辞めたい……」その理由は?
「仕事辞めたい……」その理由は?

71%の人が仕事を辞めたいと思った経験あり。その理由と対処法は?

3年後の年収どうなる? 年収予報
3年後の年収どうなる? 年収予報

今の年収は適正? 3年後は? あなたの年収をデータに基づき予報します。

激務な職場を辞めたいが、美女が邪魔して辞められない
激務な職場を辞めたいが、美女が邪魔して辞められない

美人上司と可愛い過ぎる後輩に挟まれるエンジニアの悩み

特別企画 PR

人気記事

一覧

イチオシ記事

新着記事

Rust 1.9登場
[13:30 5/30] 企業IT
ドコモ、「P-01G」ソフト更新 - 着信拒否登録に関する不具合修正
[13:28 5/30] 携帯
オーテク、原音再生にこだわった新ダイナミック型イヤホン「ATH-CKR100」
[13:12 5/30] 家電
ドコモ、「AQUOS PHONE ZETA」ソフト更新 - パケットサービスの品質改善
[13:11 5/30] 携帯
imecなど、変換効率12%の半透明ペロブスカイト太陽電池モジュールを開発
[13:09 5/30] テクノロジー

特別企画 PR

求人情報