多くの小売店が、iPhone や iPad を POS 端末として利用することを検討し始めている。その実装には安全なものもあるが、そうでないものもあるようだ。

モバイル POS ソリューションの評価を実施する Trustwave のマネージングコンサルタント Mike Park 氏は、今週米国ニューヨークで開催されている APPSEC USA 2013 で「PiOSoned POS - A Case Study in iOS based Mobile Point-of-Sale Gone Wrong」と題されたセッションに11月21日(現地時間)登壇し、iOS デバイスを利用した POS 端末の問題点について明らかにする予定だ。

イメージ

Park 氏はセッションに先立ち、InternetNews.com によるインタビューに答え、Apple iOS デバイスを利用したモバイル POS 端末の利用は、小売業者の間で増加傾向にあると述べた。

iOS デバイスを利用したモバイル POS 端末は、カードリーダーと、iOS デバイス内にインストールされたアプリで構成されている。だが、初期に販売されていたカードリーダーには、利用者のクレジットカード情報を暗号化する機能が実装されていないものもあったという。現在では、ハイエンドのカードリーダーには、ハードウェアベースの暗号化機能が搭載されているが、小売業者はこの機能を持たない、廉価なデバイスを利用していることがあると、Park 氏は述べる。

小売業者がアプリによる暗号化のみを使用し、ハードウェアベースの暗号化を採用していない場合、クレジットカード情報が不正アクセスされる場合があると Park 氏は語った。

「小売業者は、決済でストアアンドフォワード方式を採用していることがある。この場合、決済情報は一旦 iOS デバイス内に保存されるが、その保存先が暗号化されていない SQLite データベースであれば、クラッキングは容易だ」

POS デバイス運用上の問題

iOS デバイスを利用した POS 端末のセキュリティ問題は、廉価なカードリーダーの採用だけに原因があるのではない。小売業者の運用にも原因がある。

ある小売業者は、顧客のクレジットカード情報の入力を、磁気ストライプをリーダーに通すのはなく、手作業で実施していた。

「手入力をしてしまうと、小売業者が世界最高の磁気ストライプリーダーを導入していても、それが無駄になってしまう。クレジットカード情報をタイプ入力した場合、情報は暗号化されないからだ」

Park 氏によれば、現在販売されている世代の磁気ストライプリーダーは、セキュリティの高いものだと述べた。だが、カスタムメイドのアプリにはセキュリティが低いものもあるという。大手の小売店ほど、カードリーダーメーカーが用意したインターフェイスではなく、独自のアプリを開発したがる傾向にある。このため、皮肉なことに、ハードウェア付属のアプリをそのまま利用する小規模小売店の方が、カード情報保護に関してはよりセキュリティが高い場合があると、Park 氏は述べた。

「一般消費者は、この実態を知らない。また消費者が、カードリーダーを自分で扱うケースは少ない。一般消費者が実施できる対応策はあまり多くはないが、少なくとも、小売業者が Apple iOS を利用した POS デバイスを使用しており、クレジットカード情報をリーダーに通すのではなく、手でタイプ入力しているのを見たら、その店舗の POS デバイスを信用しないことだ」

Sean Michael Kerner
Sean Michael Kerner は、InternetNews.com の主任編集者。