2014年06月09日
トレンド解説

クレジットカード情報を狙うPOSマルウエア、その攻撃手法と対策

山内 正=シマンテック テクニカルディレクター
  • このエントリーをはてなブックマークに追加

 オンラインで個人情報を盗み出す手口は数多く存在するが、中でも消費者の個人情報が脅威にさらされやすいのがPOS(Point of Sales:販売時点情報管理)システムだ。大規模小売店のPOSシステムでは、毎日多数のクレジット取引が行われている。POSシステムを狙ったサイバー攻撃の実態と対処方法を解説する。

 大量のクレジットカードデータの入手をもくろむサイバー犯罪者にとって、POSシステムは格好の攻撃対象となる。米調査会社Javelin Strategy&Researchの2012年の調査結果によると、小売店のPOSシステムにおける購買額の60%が、クレジットカードまたはデビットカードを使って支払われている。

 2013年は「大規模データ侵害の年」と言われるほど、一度に大量の個人情報が漏えいする事件が相次いだ。シマンテックが2014年4月に公開した「インターネットセキュリティ脅威レポート 第19号」によると、全世界で2011年には2億3200万件だった個人情報の漏えい件数は、2013年には5億5200万件と約2.4倍になった(図1)。2013年の内訳を産業別に見ると、小売りが30%を占め最も多い。

  2011年 2012年 2013年
データ侵害 208件 156件 253件
個人情報漏えい 2億3200万件 9300万件 5億5200万件
1000万件超の大規模データ侵害 5件 1件 8件
2013年の個人情報漏えいの産業別内訳
図1●過去3年間のデータ侵害件数と2013年の個人情報漏えいの産業別内訳
出典:「インターネットセキュリティ脅威レポート 第19号」(シマンテック)

 例えば米国のある大手小売業では、2013年末に全米の店舗で使われた約4000万件のクレジットカードやデビットカードの情報と、約7000万人分の氏名、住所、電話番号、メールアドレスの流出が判明した。同じく米国の高級百貨店では、最大110万件の顧客クレジットカード情報が歳末商戦中に流出した。情報を流出させたマルウエアは、検知されないまま決済システムに数カ月間潜伏し、カード情報を窃取したと見られている。