サイバー犯罪者がセキュリティレベルの高い標的を攻撃する場合には、「正規のユーザーのIDとパスワード」の取得を狙う傾向が強まっている。サーバーのセキュリティ対策が十分に高いと、サーバーを直接攻撃しても得られるものが少ないからだ。より脆弱な攻撃対象としてユーザーを狙うのは、前回記事でジム・イエーガー氏やVISAが指摘した通りの動きといえる。
ほとんどのシステムにおいて、正規ユーザーのIDとパスワードが盗まれると、そのユーザーに被害が及ぶのを防ぐことは難しい。ここで参考になるのがクレジットカード業界の取り組みだ。クレジットカード番号はカード所有者を識別する一種のIDであり、このIDを保護するために様々な工夫を凝らしている。欧米ではクレジットカード情報を狙うサイバー犯罪が多く、特にセキュリティ対策が進んでいる業界になっている。
IDの漏えいが発生する主な経路は、ユーザー端末のウイルス感染、ユーザーのフィッシング被害、通信経路での盗聴、サーバーへの攻撃が考えられる。特に重要なのが通信経路上の盗聴対策だ。クレジットカード情報の場合、ホテルや小売店の店頭からISP(インターネットサービスプロバイダー)はもちろん、決済代行を行うサービスプロバイダーやアクワイアラと呼ばれる加盟店契約会社、そしてカード発行会社と複数の事業体間を行き来する。そのため、通信経路の途中でデータ漏えいする可能性が高い。
同様のことは一般企業にもいえる。今後、複数のクラウドサービスを連携させて使用することが一般企業で普及していくと考えられる。こうなると、セキュリティの観点から見た脅威はクレジットカード決済システムと同様の状況になる。「データの機密性は自身で守る」というデータセキュリティの考えが重要になる。
通信経路からのデータ漏えいを防止するには、一般にSSL(Secure Sockets Layer)やVPN(仮想閉域網)など通信経路の暗号化技術を使用する。クレジットカード業界ではより安全性を高めるために、アプリケーション間でデータを暗号化して受け渡す技術を導入している場合も多い。「Point-to-Point Encryption(P2PE)」と呼ぶ暗号化手法だ。PCI DSSの発行元団体PCI SSCでは、P2PEの普及を促進するためにP2PE導入のためのガイドラインの策定を予定している。ガイドラインには、P2PE製品の選定時の留意事項などが記述されるだけでなく、PCI SSCとしての製品認定制度まで計画されている。一般企業でもP2PEの導入を検討する際には参考にするとよいだろう。
SSLやVPNだけでは暗号化しきれない部分がある
重要度の高いデータを扱う企業では、一般的なSSLやVPNだけでは不十分とする論調が米国のセキュリティ専門家の間で高まっている。2009年2月に発生した「ハートランド・ペイメント・システム事件」がきっかけだ(図1)。
ハートランド・ペイメント・システムは米国の企業で、クレジットカードの決済代行を行うサービスプロバイダで全米6位の大手である。25万店以上の加盟店にサービス提供を行っていた。これだけのクレジットカード決済代行大手だけに、当然、PCI DSS準拠の証明は取得済みだった。
加盟店との通信をSSLで暗号化していたのはもちろん、データセンター内のWebサーバーとデータベース・サーバーの間もVPNで接続していた。さらにデータベース・サーバー上のデータもPCI DSSの要求に従ってクレジットカード番号を暗号化していた。
Webサーバーとデータベース・サーバーの間をVPN接続する例は、日本では少ないが、米国企業では多く取られる方法だ。社内ネットワークでの盗聴を防ぐためである。同社はこれほどまでに重装備のセキュリティ対策をしながらも、2009年2月にクレジットカード情報の漏えいが発覚した。流出した情報の推定総数は1億件以上と過去最大規模だった。
後の調査で判明したところによると、漏えいは2008年頃から継続して発生していた。データをキャプチャして特定の送信先に転送するマルウエアが、Webサーバーに仕掛けられていたのだ。
SSLによる暗号化は、Webサーバーまではデータを暗号化する。しかし、Webサーバーは届いたデータをサーバー内でいったん復号する。サイバー犯罪者はそこに目を付け、Webサーバーにマルウエアを仕込んだ。Webサーバーはインターネット接続ポイントに設置されたファイアウォールの内側で、アプリケーションサーバーやデータベースサーバーが設置されるドメインとファイアウォールで区分された「DMZ」と呼ばれるネットワーク領域に設置される。
Webサーバーからアプリケーションサーバーに送り込むデータは平文だ。ハートランド・ペイメント・システム事件では、この点を突かれてしまった。
一方、P2PEでは、ファイアーウォールの内側に設置されたアプリケーション・サーバーまで暗号文のまま処理する。P2PEであれば、ハートランド・ペイメント・システム事件は防げたかもしれない。
