突然だが想像してみてほしい。
ウイルスに狙われるのはパソコンやスマホだけでなく、店舗にあるPOSレジも変わりがないということを。
スーパーやコンビニなどの小売店で、商品販売時の決済端末として利用しているPOSレジシステムから、クレジット情報を盗み取るサイバー攻撃が世界的に急増しており、日本国内でもウイルスが確認されています。
POSレジシステムでのクレジットカード決済利用時は、レジ端末がインターネット経由でクレジットカード会社と通信を行い、クレジットカード情報を照合しています。
サイバー攻撃者は企業の関係者にウイルスを送り付け、パソコンやサーバーをウイルス感染させることによりPOSレジシステムに侵入し、クレジットカード情報を意図しない外部に送信させています。
セキュリティ会社の「トレンドマイクロ」の発表によると、POSレジシステムを狙ったウイルスは2013年は22件でしたが、2014年には21倍となる467件に急増しており、日本国内の端末でも6件が確認されてとしています。
新たな獲物を見つけたサイバー犯罪者 ~狙われたPOSシステムと仮想通貨~
http://www.trendmicro.co.jp/jp/security-intelligence/sr/sr-2014q1/index.html
狙われるPOSレジシステム
日常生活でよく利用するスーパー、コンビニ、ドラッグストアなどありとあらゆるところでレジ端末は設置されています。規模の大小はあれど、商品管理を行うためにもPOSレジシステムが稼働しているのは間違いないでしょう。
個人のパソコンやスマートフォンでも、銀行のサイトなどを模倣して情報を抜き取る「フィッシング詐欺」や、利用もしていないサービスの料金を求める「ワンクリック詐欺」などが急増しており、オンラインショッピングでクレジットカードを利用する場合に注意を払っている方も多いと思われます。
しかし、オンラインではない実店舗でのクレジットカードを使用する場合はどうでしょうか。特に日本国内であれば、さほど気にすることなく使用しているのではないでしょうか。
とはいえ、POSレジシステムも特殊な仕組みで動いているわけではなく、「Windowsで動作するひとつのパソコン」と見なすこともでき、サイバー攻撃者にとって侵入が難しいわけではないのかもしれません。
POSレジシステムを狙うウイルスの攻撃手順とは
POSレジシステムはどのようにして狙われるのでしょうか。
クレジットカード情報を狙うPOSマルウエア、その攻撃手法と対策
http://itpro.nikkeibp.co.jp/article/ESI/20140526/559222/?P=3
(1)企業内ネットワークへの侵入
サイバー攻撃者は、POSレジシステムを利用している企業の従業員などにウイルスメールを送り付けたり、サーバーの脆弱性を利用して社内ネットワークに侵入を試みます。
(2)POSレジへの侵入
企業内侵入に成功したサイバー攻撃者は、ネットワークに接続されているPOSレジを探索し、侵入経路を確保します。
(3)POSレジにウイルス感染
POSレジへの侵入経路を確保できれば、Windows OSなどが組み込まれているPOSレジにウイルスを感染させます。
(4)POSレジ情報の取得
ウイルスに感染したPOSレジでクレジットカードを処理するたび、クレジットカード情報を意図しない外部に送信します。
個人として出来ること
個人情報やクレジットカード情報の漏えいは大きなニュースとなり、各個人レベルで怪しいサイトではクレジットカードを使わない、購入しないなどの注意を取っているかと思います。
しかしPOSレジシステムの管理は企業側の問題であり、個人として出来ることは多くありません。
セキュリティ会社がアナウンスすることで、大手はすぐさま対応を取ったとしても中小企業では対策が後手に回るうちに手遅れとなることも考えられます。
自分は大丈夫だと過信せず、明細はこまめにチェックすることを心がけましょう。
