日本のPOS端末が狙われる、組み込みシステムのセキュリティ対策:セキュリティ強化塾(2/6 ページ)
セキュリティ面では放っておかれがちなPOS端末や複合機を狙ったウイルス感染が日本でも増加している。組み込みシステムに潜むリスクとは?
組み込みシステムの弱点とは?
組み込みシステムとは、POS端末やチケット発行端末などのように特定目的のために作られたコンピュータシステムのことを指し、各種の産業用機器や複合機などのオフィス機器に幅広く利用されている。
POSシステムのように端末が何台もネットワークに接続され、ストアコントローラーなどのPOS管理サーバが各端末からの情報を一元管理する形態をとる場合もあれば、スタンドアロンでネット接続しないものもある。
多くの場合は店舗内や特定拠点のフロア、工場内など、独立したネットワークで運用され、端末が個別に直接外部ネットワークと通信できるようには設計されていない。これが安全性の1つの根拠になっていて、「閉じたネットワーク」での運用だから安心と、セキュリティ対策がPCやサーバのようには配慮されてこなかった一面がある。
しかし、社内の他のシステム、あるいはカード決済などのオンラインサービスと連携するシステムも多く、一見閉じているようで、実は社内および外部のネットワークとの接点を持つシステムがほとんどだ。
また中小の店舗ではPOS端末が直接クラウド上のサービスに接続している場合も多い。さらに、普段は外部ネットワークに接続していなくとも、端末のメンテナンスに備えて外部からのリモートメンテナンス用の通信経路を確保しているシステムも多い。つまり、ほとんどがどこかで他のネットワークに接続可能になっており、インターネットと直接的に、または間接的に、つながる可能性が高いのだ。
今日のネットワークからの攻撃は複雑化しており、直接攻撃対象の端末を狙うのではなく、それに接続する可能性のある、もっと攻撃が成功しやすいPCやサーバをまず狙う。そこにウイルスを感染させ、リモートコントロールを可能にしてからじっくりとネットワーク内を調査して、攻撃可能な弱点を探る。
その過程でPOSシステムへの接点となるサーバに脆弱性が見つかれば、POS端末を攻撃するためのウイルスを送り込み、その先のネットワーク上の端末にウイルスを感染させて機密情報を窃取、同時に仕込んだバックドア(攻撃者との通信窓口、情報流出の出口)を通して外部に送信してしまう。このような手口によれば、直接侵入できる入口はなくても、段階を踏んでじわじわと一見「閉じられた」ネットワークに到達できるわけだ。
また、企業の内部関係者が不正を働くケースも考えに入れると、ネットワークが閉じられているかどうかはまったく意味がなくなる。機密情報の保存場所が分かっていれば、それをUSBメモリなどのリムーバブルメディアにコピーするだけだ。
これを防ぐために、POSシステムの場合ならカード情報などは読取り次第に暗号化し、端末内には保存せずに、暗号化したまま外部の決済サービスや管理サーバに送信してしまうようになっている。暗号化されていれば、仮に外部に持ちだされたとしても、解読される可能性が低く、安全だと考えられているわけだ。しかし、これにも抜け道がある。
Copyright © ITmedia, Inc. All Rights Reserved.