小売店の中には、すでに POS 端末の保護対策を講じているところもありますが、より安全な決済テクノロジーに移行しない限り、POS 攻撃に対して脆弱であることに変わりはありません。そのため、このようなタイプの詐欺の被害に遭わないようにするためには、消費者側で警戒をする必要があります。

POS 攻撃とは

POS 攻撃とは、小売店の顧客から 16 桁のクレジットカード番号を盗み取る攻撃のことです。多くの場合、盗まれたクレジットカード番号はアンダーグラウンド市場で売買され、1 枚あたり最高 100 ドル程度で取引されます。ここで売買された情報は、偽のクレジットカードを作成するために使われる可能性があります。意外なことに、POS 攻撃は、大規模小売店よりも POS システムが脆弱な中小規模の小売店で多く発生しています。

POS システムを攻撃する手口

たいていの場合、POS 攻撃は複数の段階を経て行われます。まず、攻撃者は POS システムに侵入するために、標的とする小売店のネットワークに侵入します。次に、POS システムへの侵入に成功したら、盗み取った情報を小売店のネットワークから外部に転送するためのマルウェアをインストールします。

攻撃者が小売店のネットワークに侵入する手口はさまざまです。その 1 つとして、ネットワークシステム内の脆弱性を悪用し、悪質なコードを埋め込む方法があります。その他にも、悪意のある添付ファイルやリンクを仕込んだスピア型フィッシングメールを従業員に送りつけて個人のパソコンに感染させたうえで、そこからネットワークに侵入する方法もあります。 

POS マルウェアの中でも広く使われている「BlackPOS」は、アンダーグラウンド市場で 2,000 ドルで売買されていることが確認されています。犯罪者にしてみれば、あわよくば何億円も荒稼ぎができると考えたら安いものです。決済が処理される間、つまり POS でカード情報が読み取られる瞬間に、カード情報は端末のメモリに一時的に保存されるのですが、このマルウェアはその一瞬の隙を突いて情報を盗み取ります。この手法は「メモリスクレイピング」と呼ばれ、2013 年および 2014 年に発生した大規模な POS 攻撃のほとんどで悪用されていたデータ窃取の手口です。

消費者側のリスク

パソコンに保存されているクレジットカード情報は、ノートン セキュリティで保護することができますが、店舗でカードを使う場合、データの保護はその店舗のセキュリティ対策に頼ることになります。実店舗でクレジットカード払いをする場合は、利用明細を定期的に確認するようにしてください。

自分の身を守るには

最善の方法は、常に警戒を怠らないことです。クレジットカードの利用明細は、定期的に確認しましょう。不審な取引に気付いたら、まずは即座にカード会社や銀行に報告してください。クレジットカード詐欺や不正使用から身を守るには、次の 5 つの点に気をつけて対策をしてください。

1. クレジットカード口座のオンラインアカウントに登録するときは、クレジットカード会社のウェブサイトから登録するか、専用アプリをダウンロードすること。取引先の金融機関で電子メールによる取引状況の警告サービスを提供している場合は、登録してください。
2. クレジットカードの利用明細を常にチェックし、記載されている取引がすべてが正しいことを確認すること。犯罪者は、1 ドルの寄付など少額の取引を試して、カードが有効かどうかテストすることがあります。
3. 不審な取引に気付いたら、即座にカード会社に報告すること。不正な請求が見つかったとしても、請求が取り消されることもあるはずです。その場合は、それ以上不正に使用されないよう口座が凍結されます。
4. 企業やオンラインストアで新たなデータ侵害が発生したときに、そのサービスを利用したことがある場合には、金融口座の取引状況を注意深く監視すること。その時点で不審な取引がないからといって、安全とは限りません。犯罪者が盗んだクレジットカード番号を保持したまま、しばらく鳴りを潜めていることも珍しくありません。数カ月経過してから初めて不正使用することもあるのです。
5. 住所や誕生日、暗証番号などの個人情報を常に保護すること。個人情報が漏えいしてしまうと、その他のセキュリティチェックも通過され、なりすまし犯罪を助長することにもなりかねません。