2015年10月、米国金融機関は、「Europay、MasterCard、VISA(EMV)」の「Liability Shift(債務責任移行)」を導入しました。これにより、 小売店は決済端末をEMV仕様の ICチップ記録装置へ交換しない限り、債務責任を負うことになります。この移行は、EMV仕様のチップとPIN(暗証番号)のカードによる「販売時点情報管理(Point of sale 、POS)」システム詐欺への対処を目的としています。このEMV仕様のカード(以下、EMVカード)は、磁気テープの従来型カードよりセキュリティが強固だと考えられています。

EMV仕様は、電子決済技術を確立した「Europay」、「MasterCard」、「Visa」3社の頭文字をとった国際統一規格です。EMVカードは、カードや取引が変更された場合、金融機関 が判別できる暗号技術実装のチップを搭載しています。各取引に伴う増加分を記録する計測装置も備えています。こうした技術により、詐欺の兆候を示す重複や省略を防止できます。

EMVカードは、欧州、カナダ、メキシコ、南米、アジアなど世界中で広く使用されています。英国のクレジットカードに関する統計によると、カード不介在詐欺(キャッシュカードまたはクレジットカードを物理的に介在させない詐欺)の被害額は劇的に増加しています。この増加は、カードの偽造に対してサイバー犯罪者はカード情報の窃取でも多くの不正活動を働いていることを示唆しています。

[参考情報: Next-Gen Payment Processing Technologies: What they are, and how they work(英語情報)]

一見すると、EMV技術導入は、カードによる取引のセキュリティ向上の一助となっているようです。しかしEMV技術も、セキュリティ上の課題を抱えています。EMV導入前、セキュリティリサーチャーは、この技術がサイバー犯罪増加につながる可能性を指摘していました。チップ内の情報は、高度な暗号技術が施されていますが、偽造は不可能ではありません。こうしたEMV技術の突破は、米国大手小売業「Target」の情報漏えい事例で見られるように、盗難されたカードや、情報漏えいで窃取された情報で作成されたカードにも言えることです。

[参考情報: Target breach shows need to create more secure payment systems(英語情報)]

EMVの問題点とは?

EMVの決済方法ではデータを磁気ストライプではなくチップに保存するため、偽のEMVカード複製は事実上不可能だと言われてきました。そうした機能にも関わらず、EMV仕様の決済は、以下のようなセキュリティ上の課題を抱えています。

導入の問題:EMV仕様は、導入前から普及率は低くなると予測されていました。米国の金融機関でもEMVカードを顧客に提供していますが、取引時には暗証番号でなく署名が用いられています。詐欺防止の鍵は暗証番号や署名でなくチップにあるとクレジットカードの業界も主張しています。暗証番号は、カードの紛失や盗難による他者利用は阻止できますが、カード偽造自体は阻止できません。サイバー犯罪者が小売店のネットワークからカード情報を窃取した場合、その情報でカードを偽造し、暗号番号に関係なく不正に商品を購入できます。

EMVの弱点:2016年8月米国開催のセキュリティカンファレンス「Black Hat USA 2016」で、セキュリティ企業「Rapid7」のセキュリティリサーチャーは、EMVカードも磁気ストライプカードと同様、複製が容易なことを実演しました。実演では、わずか15分足らずで米国のATMから50万米ドル(2016年9月28日時点、約500万円)を引き落としました。攻撃実行に必要なプロセスはたった2つでした。まず、「Shimmer」という小さな装置をPOSシステムに組み込みます。これによりATMへの「Man-In-The-Middle(MitM、中間者)攻撃」が可能になります。この装置をユーザのチップとATMカード読み取り機の間に設置し、ATMがカードを読み込むと、この装置も暗証番号を含むチップの情報を記録し、サイバー犯罪者へ送信します。そしてサイバー犯罪者はスマートフォーンで情報をダウンロードしてATMでユーザのカードを再現し、現金引き落としの指示を出し続けます。

インターネット上の脅威POSマルウェアは米国大手小売業「Target」の情報漏えい事例や同種の事例で利用され注目を集めました。ケンブリッジ大学のリサーチャーは、EMV仕様のクレジットカードとPOSシステムとの通信を傍受・変更する特殊な端末がサイバー犯罪者の手で安く製造でき、これによりPOSシステムを欺いて偽の暗証番号が承認可能なことを示しました。その他、実際に確認された攻撃手法として、カナダの銀行が被害を受けた「Replay Attack(リプレイ攻撃)」があります。このカナダの銀行はコード処理が伴うEMV仕様の取引を正しく実行しておらず、カウンタ値の暗号化も確認していませんでした。サイバー犯罪者は、偽のEMV取引依頼をこの銀行に送り不正請求を承認させていました。

電子決済のセキュリティ技術は向上しているが、改善が必要

EMVのセキュリティ問題にも対処方法はあります。上述した課題のいくつかは、支払いプロセスに強固な暗号化を導入し、ファームウェアにはベンダー署名の更新のみを許可することで対処可能です。個人ユーザは、不自然なポップアップ表示や催促に警戒し、暗証番号の再入力は避けることです。「Apple Pay」や「Android Pay 」は、強固なセキュリティを採用しているケースが多く、こうしたアプリケーションを用いた支払いシステムの使用も推奨します。

完全無欠なセキュリティ技術は存在しませんが、それでも「EMVの債務責任移行」や「カードへのより強固なセキュリティ技術導入」は、電子決済技術を向上させる大きな一歩ではあります。そうした中、小売店やユーザは、米国のEMV技術におけるセキュリティ問題の現状を認識する必要があります。

多くの攻撃は、ほとんどが小売業界やサービス産業界を標的としているため、小売店にとって防止策は極めて重要です。以下は企業や顧客がクレジトカード詐欺に遭わないために実行できるセキュリティ対策です。

  • POS端末およびネットワークのセキュリティを強固にする
  • 「Payment Card Industry(PCI、クレジットカード業界)」が策定したセキュリティガイドラインを順守する
  • 不正プログラムに対するセキュリティ対策を強化する
  • 必要に応じて修正パッチを適用する

個人ユーザは、口座が危険にさらされないために以下の注意事項を順守することです。

  • 定期的に銀行およびクレジットカード明細をチェックする。取引を確認することで、不正な取引を発見することができます。
  • すべての端末のオペレーティング・システム(OS)は最新の状態になっていることを確認する
  • 電子決済で使用する端末にセキュリティ製品をインストールする

トレンドマイクロの対策

POS端末を保護するために「ウイルスバスター? コーポレートエディション」が有効です。また、POS端末上で実行されるアプリケーションを管理し、不正プログラムの実行を防止するために「Trend Micro Safe Lock?」の導入をお勧めします。さらに、カスタムサンドボックス機能が搭載され、不正プログラムの振る舞いを検知できる弊社のネットワーク挙動監視ソリューション「Trend Micro Deep Discovery(トレンドマイクロ ディープディスカバリー)」の検討を推奨します。