ビデオ: ™â€žÃ˜Â§ الترÙÆ' إعلانشرÙÆ'Ø© زينإ�تؠيا سم (十一月 2024)
今週、ロシアのサイバー犯罪者は、Oracleの子会社であるMicrosが製造する330, 000を超えるPOS(Point of Sale)システムを侵害しました。これは、世界で3大POSハードウェアベンダーの1つです。 この侵害により、世界中のファーストフードチェーン、小売店、ホテルの顧客データが潜在的に公開されました。
POS攻撃は新しいものではありません。 米国史上最大のデータ侵害の1つであるTargetハックは、7000万件を超える顧客レコードをハッカーにさらし、小売業者のCEOとCIOの仕事にコストをかけました。 攻撃の時点で、ターゲットがFireEyeマルウェア対策システム内で自動根絶機能を実装していれば、攻撃を回避できたことが明らかになりました。
現実には、ほとんどのPOS攻撃を回避できます。 POSシステムには多くの脅威がありますが、これらの攻撃に対抗する方法は同じくらい多くあります。 、POSの侵入を防ぐための6つの方法をリストします。
1. POSにiPadを使用する
WendyおよびTarget攻撃を含む最近の攻撃のほとんどは、POSシステムのメモリにロードされたマルウェアアプリケーションの結果です。 ハッカーはマルウェアのアプリをPOSシステムに密かにアップロードし、データを盗むことができます。ユーザーや商人は何が起こったのか気づかないままです。 ここで注意すべき重要な点は、(POSアプリに加えて)2番目のアプリを実行する必要があることです。そうしないと、攻撃は発生しません。 これが、iOSが従来より少ない攻撃を促進してきた理由です。 iOSは一度に1つのアプリしか完全に実行できないため、この種の攻撃はApple製のデバイスではほとんど発生しません。
「Windowsの利点の1つは、複数のアプリを一度に実行できることです」と、Revel SystemsのCTO兼共同設立者であるChris Ciabarra氏は述べています。 「マイクロソフトはその利点がなくなることを望んでいません…しかし、なぜWindowsが常にクラッシュすると思いますか?これらのアプリはすべて実行され、すべてのメモリを使用しています。」
公平を期すために、Revel SystemsはiPad用に特別に設計されたPOSシステムを販売しているため、AppleのハードウェアをプッシュすることはCiabarraの関心事です。 ただし、Apple固有のPOSシステムで発生するPOS攻撃を耳にすることはほとんどありません。 iPad Proが発表されたときのことを覚えていますか? 誰もがAppleが真のマルチタスク機能を有効にし、2つのアプリを同時にフルキャパシティで実行できるようになるかどうか疑問に思いました。 Appleは、この機能をiPad Proから削除しました。新しいデバイスでPOSソフトウェアを実行する可能性が高いユーザーを除き、すべての人々の悔しさを大いに感じました。
2.エンドツーエンド暗号化を使用する
Verifoneなどの企業は、顧客のデータがハッカーに決してさらされないことを保証するように設計されたソフトウェアを提供しています。 これらのツールは、POSデバイスで受信された2回目と、ソフトウェアのサーバーに送信されたときにもう一度クレジットカード情報を暗号化します。 つまり、ハッカーがマルウェアをインストールする場所に関係なく、データは決して脆弱ではありません。
「真のポイントツーポイント暗号化ユニットが必要です」とCiabarraは言いました。 「データをユニットからゲートウェイに直接送信する必要があります。クレジットカードのデータはPOSユニットにも触れません。」
3. POSシステムにアンチウイルスをインストールします
これは、POS攻撃を防ぐためのシンプルで明白なソリューションです。 有害なマルウェアがシステムに侵入しないようにするには、デバイスにエンドポイント保護ソフトウェアをインストールします。
これらのツールは、POSデバイス上のソフトウェアをスキャンし、すぐに削除する必要がある問題のあるファイルまたはアプリを検出します。 このソフトウェアは、トラブル領域を警告し、マルウェアによるデータの盗難を防ぐために必要なクレンジングプロセスの開始を支援します。
4.システムをロックダウンする
従業員が悪意のある目的のためにPOSデバイスを使用することはほとんどありませんが、内部ジョブや人的エラーが大きなトラブルを引き起こす可能性がまだ十分にあります。 従業員は、POSソフトウェアがインストールされているデバイスを盗んだり、誤ってデバイスをオフィスや店舗に置いたり、デバイスを紛失したりする可能性があります。 デバイスが紛失または盗難に遭った場合、デバイスとソフトウェアにアクセスする人は誰でも(特に上記のルール2に従わなかった場合)、顧客レコードを表示して盗むことができます。
会社がこの種の盗難の被害に遭わないようにするには、勤務時間の終わりにすべてのデバイスをロックダウンしてください。 毎日すべてのデバイスを把握し、少数の従業員以外の誰もアクセスできない場所でそれらを保護します。
5.上から下までPCIに準拠する
POSシステムの管理に加えて、すべてのカードリーダー、ネットワーク、ルーター、サーバー、オンラインショッピングカート、さらには紙のファイル全体で、Payment Card Industry Data Security Standard(PCI DSS)に準拠する必要があります。 PCI Security Standards Councilは、脆弱性を検出するために、企業がIT資産とビジネスプロセスを積極的に監視および調査することを提案しています。 また、理事会は、絶対に必要でない限りカード会員データを削除し、問題が発生していないか、すでに発生していることを確認するために銀行やカードブランドとのコミュニケーションを維持することを提案します。
資格のあるセキュリティ評価機関を雇って、定期的にビジネスをレビューし、PCI標準に従っているかどうかを判断できます。 システムへのアクセスを第三者に与えることに懸念がある場合、評議会は認定評価者のリストを提供します。
6.セキュリティ専門家を雇う
「CIOは、セキュリティの専門家が知っていることすべてを知るつもりはありません」とCiabarra氏は述べています。 「CIOはセキュリティで発生しているすべてのことを最新に保つことはできません。しかし、セキュリティの専門家の唯一の責任は、すべてを最新に保つことです。」
あなたの会社が小さすぎて、テクノロジーエグゼクティブに加えて専任のセキュリティエキスパートを雇うことができない場合は、少なくとも、サードパーティに助けを求める時が来ることを知っている深いセキュリティのバックグラウンドを持つ人を雇いたいと思うでしょう。
