1. まとめトップ

スーパーやコンビニのレジで使うだけで!クレジットカードやポイントカードの情報が流出の危機

レジに感染し、クレジットカードやポイントカード等、顧客情報狙うウイルスが国内でも広がりつつあるようです。

更新日: 2016年01月07日

0 お気に入り 8349 view
お気に入り追加

この記事は私がまとめました

noribaseさん

POSシステムを狙う新たなマルウェア、「機能満載でサポート充実」を売り文句に地下フォーラムで販売

POSシステムを狙う新たなマルウェア「PROJECT SNIFFER」について紹介。この新しいマルウェアは、展開の容易さやコントロールパネルの使いやすさ、RDP盗聴ツールや攻撃用のツールを備え、魅力的な価格と充実した無料サポートが魅力だと語っているという。

PROJECT SNIFFERが提供する機能や特徴としては、すべてのPOSシステムに対応し、クレジットカードの磁気ストライプに含まれるトラック1とトラック2のデータを窃取。

2015/5/4 06:00配信

これは盗む気ある人がいれば簡単にウィルスを手に入れクレジット情報を盗みとられそうで怖いですね

4月にはいくつかのセキュリティベンダーから2014年の状況をまとめた報告書が公開されましたが、その中で今回は、Verizonが毎年提供している「データ漏洩/侵害調査報告書(Data Beach Investigations Report、以降DBIRと略)」の2015年版を紹介します。

かつては多くを占めていたスパイウェアおよびキーロガーが減る一方、主にPOSシステムを狙うRAMスクレイパーが2012年以降急増し、2014年にはフィッシングとともに最大の脅威となっています。

スーパーのレジなどを標的としたコンピューターウイルスの感染報告が昨年、全世界で467件に上り、国内でも6件確認されたことが16日、分かった。サイバー攻撃とは無縁と思われがちなレジだが、在庫管理のため本社システムとインターネット接続されており、感染の恐れがあるという。購入者のクレジットカード情報を盗み出すのが狙いとみられ、実際に米国では「ブラックPOS」と呼ばれるウイルスによって顧客情報約1億1千万件が流出した。関係者は「企業側の対策が急務だ」としている。

ウイルスの大半は、レジに通されたカード情報を外部サーバーに送信するタイプ。通常、カード情報はレジ内で暗号化されるが、暗号化される前の情報を抜き出す働きを持っていた。

2015年2月16日(月)21時35分配信

スーパーやコンビニのレジで決済や売り上げ管理に使われる「販売時点情報管理(POS)システム」に感染し、顧客のカード番号や暗証番号を盗み取るサイバー攻撃用のコンピューターウイルスが今年、日本で初めて確認された。一~九月に全世界で検出されたウイルスは米国を中心に三百五十三件と急増。うち日本は三件で、感染前に見つかって駆除されたが、専門家は本格的な“日本上陸”を警戒し、注意を呼び掛けている。

 
 顧客がレジでクレジットカードを使った場合、POS端末で読み取ったカード情報が外部に送信される。カード情報はシステム本体への送信段階では暗号化されるが、端末で読み取った直後は暗号化されていないことが多く、その隙を狙うという。

 昨年末には米国の小売り大手「ターゲット」でPOSシステムがウイルスに感染、顧客約四千万人分のクレジットカード情報が流出した。住宅用品販売会社やデパートなどでも同様のウイルスが原因とみられる情報漏えいが相次いだ。

トレンドマイクロが全世界で検出したPOSウイルスは、2013年は22台だったが、2014年は1~3月期だけで156台と7倍に急増。その後、11月末までの累計で467台に上り、前年比では約21倍となった。そのうち35%が米国に集中しており、これには、ICチップ付きカード(EMV仕様)および暗証番号による決済認証に対応した端末が普及していないことが要因にあるという。

しかし、2014年1~3月期には日本国内でも初めて検出され、11月までに累計6件が確認されたとしており、日本も、POSシステムを運用する企業や店舗でカードを利用する個人にとって、POSウイルスと無縁ではないと注意を呼び掛けている。

いやはや、こういったウィルスが一般的になってしまうと、もはやお店でクレジットカードを使えなくなるだけでなく、信用で売買ができるというクレジットカードの仕組みそのものが崩壊してしまうことに繋がりかねませんよね。

未だに古いPOSレジを使ってクレジットカード決済をしているチェーン店(特に中小スーパーマーケット)などは真っ先に狙われてしまうことでしょう。早めに最新式のPOSレジを導入するか、これらのウィルス用の端末開発をするくらいしか防ぐ方法はないと思います。

感染しても気づかないまま

 さらに、「POS端末は1台数十万円。一般的にシステムの入れ替えは7~8年のサイクルで、いったん感染すると気づかないまま長期間放置される可能性がある」と。「POS端末が接続するネットワークには従来専用回線が使われていたが、6、7年前ごろからインターネットの利用が進み、その半面、外部から攻撃を受けやすくなっている」としている。いわば、「専用回線」から「インターネット利用」への置き換えがウィルス感染しやすくなったそもそもの要因と謂えるが。感染しながら使用され続けている端末も有り得るとの指摘といえる。

『いまだに Windows XPや 2000のレジを見るし怖い』という感想がみられるのですが、実のところ、POS端末に XP Embeddded や 2000 Embedded が入ってるのなら問題はそれほど大きくないのです
実は、POS端末に専用の組み込みOSを使ってるのなら問題ないのですが、ケチって普通の Windows に POSソフトをインストールして使っている企業があるのです…。

組み込みOSである Windows Embedded シリーズならば、ウィルスに感染しても、再起動すれば消えてしまいますが、通常のOSの場合いったん感染すると、セキュリティソフトでも入ってない限りは気づくことはありませんし、下手をしたら、数年間感染したままバックドアを利用され続けている、なんてケースもあり得るのです。

いくら、安いからって、普通のWindows 8 PCに POS ソフト入れてる機械導入して安心なんてお店で買い物したくないでしょう?

私がバイトしてた時のお店のPOS端末は当時 市販のWindows PCに専用ソフト入れただけでした。
POS専用の組み込みPCは50万前後、市販のPCなら10万円ですからね。

Windows XP Embedded (Toolkit and Runtime), all versionsの、サポートの終了日は2016 年 1 月 12 日まであり、既に終了している通常のXPとはライフサイクルが違うようです。

詳しくは
http://www.microsoft.com/windowsembedded/ja-jp/product-lifecycles.aspx
をご覧ください

客としては、レジのPOSシステムが組み込み用のOSを使っているのか普通のパソコン用OSを使っているのか区別できないので、何とも不安ですね。

Windows Embedded Standard 2009(こちらもWindows XPベース)であれば、延長サポートは 2019 年 1 月 8 日までありますが、Windows XP Embeddedであれば、2016 年 1 月 12 日でサポートが終了になります

ウィルス感染以外にもアナログな方法での情報漏えいもあります

2015年5月28日、客のクレジットカード番号を盗み見て、電子マネーに不正課金した元コンビニ店員が逮捕されました。コンビニのバイトをしていた容疑者は、クレジットカードでの決済を希望した客からカードを渡してもらい、決済作業をするふりをしながら後ろを向き、自分のスマホで客のクレジットカードの両面を撮影。

対策方法

ICチップ対応は最も有力な対処方法とみなされている。これはICチップが内蔵されたクレジットカードをIC対応のPOS端末で読み込むものだ。

ICカードとホストコンピュータがお互いに知っている暗号アルゴリズムに基づき、共通の秘密鍵を使って暗号文を生成し合い、お互いにその暗号文をチェックする。そのため、データを盗むことができたとしても偽造が困難だという長所がある。

IC対応している店舗が少ないですが、POS端末のICクレジットカード対応をしているお店でしかクレジットカードを使用しないのも一つの防衛方法のようです。

個人情報を内包するものには要注意

 いわば、利用者側の我々にとっては、多くのレジで対応しているクレジットカードやポイントカードなど、相応に個人情報を内包したものを使用する場合に要注意と思われる。

個々人の価値観は千差万別であり、事例もまたケースバイケースに他ならないが、お気に留められている皆様には念のために、POSレジでのカード類の提示や使用は極力控えられる。現金のみで買い物をされるのも、あるいは身近な対策の一つと思われる。

現在のところ、企業が何かしらの対応をしない限り、個人レベルでは使用する限り防ぐことは難しいとおもいます。
今のところ、クレジットカードが不正利用されたらに記載したように、毎月の利用明細を確認するなどで防衛するしかなさそうです

小学2年の長女のために2年前に半年
間だけ進研ゼミを利用した。変な勧誘などが来ると困ると思い、
その時、子どもの名前を一文字変えて登録。DMは、実在しない
その名前宛てだった。

ポイントカードや会員カードなどで身分証が不要なものは、名前を一文字かえてというのも有効かもしれませんね

実際お店でクレジットカードを使うときにはセキュリティコードや番号などを知らせる必要はないので、もしもの時に備えて下の絵のようにところにシールやポストイットの接着面を切り取って貼っておくのもいいと思います。

http://allabout.co.jp/newsdig/c/83790/2/
より引用

もしクレジットカードが不正利用されたら

ちなみに万が一、あなたのクレジットカードを第三者に不正利用されたとしても、所定の手続きさえ行えばあなたの負担額は0円で済みます(申請期限は有り)。重要なのは毎月きちんと利用明細書を確認し、自分が使って以外の利用がないかどうかを確認することなので、絶対にそれらの作業は怠らないようにしてくださいね。

1