Symantec Security Response Weblog
PCI-DSS Version 1.2 - Changes Forthcoming」より
August 26,2008 Posted by Jesse Gough

 PCIセキュリティ基準委員会(PCI Security Standards Council)が,情報システム向けセキュリティ規準の改訂版「PCI DSS(PCIデータ・セキュリティ基準)1.2」の概要を発表した。同バージョンは,2008年10月1日にリリースされる予定である(関連記事:セキュリティ基準「PCI DSS」/全セキュリティ・パッチを1カ月で適用,それがPCI DSS対応の難しさだ)。拡大するカード詐欺への対抗策としてクレジットカード業界が策定したこのデータ・セキュリティ基準は,規制を課すことで,顧客のクレジットカード情報を簡単に盗み出せないようにする。

 顧客のカードを処理する側は,ほぼ間違いなく知っている規制であり,おそらくPCIDSSへの準拠と維持にかかるコストについても同じように認識しているだろう。一部の人は,セキュリティにはあまり投資しない。多くのお金を費やしたところで,結局のところ,目に見えるメリットがないと感じることがあるからだ。非効率と思われるPCI DSS対応のために,業務手順の一部変更を余儀なくされることもある。

 ただし,一部の小売業者は米連邦取引委員会(FTC)からの厳しい追及を受けると同時に,先ごろ発表された,11人の犯行グループが行ったカードのセキュリティ侵害により,1600万ドルもの請求に直面している。わずかな出費を惜しんだために,かえって大きな出費を強いられたと言える。恐らくさらに重要なのは,「個人情報を保護してくれる」という顧客の信頼を失ってしまったかもしれないことだ。このような損害に値段をつけるのは難しいが,エコノミストは「非常に高く付く」とコメントするだろう。

 米司法省は先日,11人からなる犯行グループが少なくとも米大手小売業者8社から告発されたことを明らかにした。告訴状で名前が明らかになったうちの1人は,2003年に米国とカナダの当局が犯罪集団「Shadowcrew」を解散に追い込んだ捜査作戦「Operation Firewall」で逮捕された,カード業界ではいわくつきの人物だった(関連記事:「法的機関がサイバー犯罪の進化に追いつけない」,米McAfeeが調査報告書で警鐘)。実際のところ,この人物はこの事件で,重要な情報提供者として取り締まり当局に協力し,犯行グループの全行動を記録できるVPNを作った。当局はこの人物が犯罪から足を洗うと考えたのだろうが,現在は,新手の犯罪に手を染めていることが確認されている。

 当局が望んでいるのは,この人物と仲間がいわゆる「非合法的な」手段を使って手に入れたとされる200万ドル,マイアミの高級コンドミニアム,2006年式BMW,さらにはノート・パソコン,プラズマテレビ,iPodなどのあらゆる消費者向け電気製品を返還させることだ。この何ともうらやましいライフスタイルに,知らぬ間に荷担していた4100万人のカード保有者は,その気持ちを分かち合えるだろう。筆者個人もこの犯罪が行われた期間中に,クレジットカードが不正にコピーされ,使用される目に遭った。私が知り得るのは,彼らのBMWの支払いを肩代わりしたかもしれないということだ。それよりももっと気がかりなのは,この人物が得ている利益は氷山の一角にすぎないという事実である。率直に言って,筆者のカードを保護できなかった小売業者が分かるのであれば,今後の付き合いは遠慮したいところである。

 この攻撃には,特定の小売業者の敷地内において,施設の目前でコンピュータ・システムに侵入する,いわゆる「ウォードライビング」(関連記事:無線LANが危ない! 危険な遊び“ウォー・ドライビング”)という手口と,クレジット/デビットカードの「Track 2データ」をキャプチャする「Sniffer」というツールが使われた。Track 2データはクレジットカード/デビットカードの磁気ストライプ部分に格納されているアカウント番号や有効期限などの情報で,カード犯罪者の間では「ダンプ」と呼ばれる。キャプチャされたデータは,安価な磁気カード・ライターを使って別のカードに書き込まれ,買い物に使用される。

 このような取引システムは,施設外の駐車場などからのセキュリティが確保されていない無線ネットワーク経由ではアクセスできないと思われがちだ。だが,少なくとも被害にあった小売業者の一部は,このようなセキュリティ対策を過信していた。ほかの被害に遭った小売業者はデータの暗号化技術として,攻撃者に多少の根気があればアクセスできてしまう程度のぜい弱なアルゴリズムを選択していたケースもあった。

 PCIセキュリティ基準委員会は,PCI DSS 1.2での改定の概要を発表した。同バージョンは2008年10月1日にリリースが予定されている。この改定には,上記の攻撃で悪用された無線セキュリティに関する改善点を盛り込んだ。主な変更は以下の通り。

・使用可能な無線暗号アルゴリズムからWEPを除外
・ローカルのユーザー・アカウント・データベースについてディスク暗号化の要件を強化
・無線を使用する場合,業界のベスト・プラクティスの強じんな暗号化技術を使うこと
・全OSにおいて利用するウイルス対策ソフトの要件を強化
・使用するウイルス対策製品を,あらゆる種類の悪意のあるソフトウエアに対応したものにすること
・インターネットで公開するWebアプリケーションに関するテストの厳格化
・カード保有者のデータを含む電子メディアおよび紙媒体のセキュリティ要件強化
・テスト手順において,保存および転送時のパスワードが読み取り不可であることを検証すること
・無線アナライザおよび無線侵入検知/防御システム(IDS/IPS)に関するガイダンスの追加
・認定スキャン・ベンダー(ASV)による四半期ごとの外部によるぜい弱性スキャンの義務化

 PCI DSS基準の詳細については,「Preserve and Protect Your Data」を参照してほしい。

 米シマンテックが提供するトレーニング・プログラム「Symantec Security Awareness」でも,PCIデータ・セキュリティ基準に関する講座を設けている(詳細)。

 シマンテックの認定セキュリティ評価者(QSA)または認定スキャン・ベンダー(ASV)に関する情報は,PCI@symantec.comまで問い合わせてほしい。


Copyrights (C) 2008 Symantec Corporation. All rights reserved.
本記事の内容は執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。
◆この記事は,シマンテックの許可を得て,米国のセキュリティ・ラボの研究員が執筆するブログSecurity Response Weblogの記事を抜粋して日本語化したものです。オリジナルの記事は,「PCI-DSS Version 1.2 - Changes Forthcoming」でお読みいただけます。