2006年9月に行われた Payment Card Industry (PCI) Data Security Standard (DSS) の改定 (バージョン1.1) は、現在クレジット・カード/デビット・カードのセキュリティ・システムが抱えている弱点を浮き彫りにしました。この新しい PCI 規格の発布直後、Visa はカードのセキュリティ環境に関する詳細な調査をまとめ、クレジット・カード/デビット・カードに関連するデータ侵害の原因トップ5を発表しました*。5つの原因は次のとおりです。
1. 磁気ストライプに記録されたデータを自社システムに保存している: データ侵害が発生する最大の原因は、小売業者やサービス・プロバイダが PCI 規格に従わずに、カードの磁気ストライプに記録されている機密情報を自社システムに保存していることにあります。このようなことが起きるのは、主に、多くの POS システムがこの機密情報をシステム内に保存しており、しかも小売業者がそれに気付いていないためです。
2. 最新のセキュリティ・パッチを適用していない: この場合ハッカーは、修正されていない脆弱性を悪用して、小売業者やサービス・プロバイダのシステムに侵入できてしまいます。
3. デフォルトの設定およびパスワードをそのまま使用している: 多くの場合、小売業者が使用する POS ハードウェアやソフトウェアは外部の業者がインストール作業を行っており、インストール後も設定やパスワードがデフォルト状態のままにされていることがあります。こうしたデフォルト値はすでに広く知られているか、または容易に推測可能なものであり、ハッカーに利用されてしまう可能性があります。
4. SQL インジェクション: 犯罪者は、Web アプリケーションのコーディングに関する脆弱性を悪用するSQLインジェクションと呼ばれる手法を用いて、「買い物かご」システムなどの小売業者のインターネット・アプリケーションを攻撃することがあります。
5. 必要のないサービスまたは脆弱性のあるサービスがサーバ上で稼働している: サーバは、必要のないサービスやアプリケーションが有効にされた状態でベンダーから納入されることがあり、ユーザ側がそれに気付かないまま使用しているということがしばしばあります。こうしたサービスやアプリケーションはセキュリティ・パッチの適用やアップグレードを忘れられがちであり、ハッカーに攻撃の糸口を与えてしまう可能性があります。
これらの脆弱性やリスクを軽減する具体的な方策については、この問題に関する Visa の『CISP Bulletin』 を参照してください。[PDF]
*出典: Top Five Data Security Vulnerabilities Identified to Promote Merchant Awareness, Cardholder Information Security Program, Visa U.S.A. Inc., August 2006.