Stratforでの、昨今のハッキング被害に照らし合わせてみると、一部には暗号化されてない支払カード情報の公への漏洩が原因であるようです(そのため、彼らの信用にかけて公に謝罪しましたが)。
現在、マーチャントはペイメントカード業界(PCI)と銀行に対して、通知も償還請求権もほとんどなしに、彼らの銀行口座から残高を没収されるというような高圧的な罰則を問題としている。
ESETは、まず第一に潜在的な侵害に対して、支払カード情報を暗号化することを含めて、みなさまのインフラを保護する一連の手順を推奨しています。
しかし、ユタ州でのCisero’s Ristorante&Nightclubの場合、非常に一般的な方法とされる第三者のPOSシステムを導入していました。しかしそのPOSシステムは、暗号化されていない支払カードのデータを保管するとして、ペイメントカード業界(PCI)のコンプライアンス違反の容疑が掛けられているMicros社のものででした。
レストランのオーナーは「情報が暗号化されていないことを知らなかった」と主張しており、おそらく大部分のマーチャントのPOSユーザーも「情報が暗号化されていないことを認識していないと思います。
そのため、銀行口座が空になる事態を防げず、レストランオーナーたちはより一層の憤りを感じているようです。
彼らの口座には、Visaが不正利用の際に査定した罰金と同額の残高がなかったため、U.S.BANKは、既存の約10,000ドルの残高を押収した上、残債務として90,000ドル以上の訴えを起こしました。
レストランオーナーは、U.S.BANKとその関連会社Elavonに対する訴訟の中で「適切な通知や罰則の根底にある誤った仮定に異議を申し立てる機会」が欠如していたと非難しています。金銭は前もって押収され、その後に不正利用の申し立てがあり、マーチャントには償還請求権もほとんどないためです。
「正式な紛争プロセスの欠如のために、支払カード業者は手っ取り早く利益が上げられるものとしてこの問題を扱っている」とレストランオーナー達は主張し、反訴の中で次のように述べました。
これらは懲罰的な罰金であり、実質損失額とは関係なく科されるもの。実際にVisaとMasterCardは、まったく詐欺の損失がなかったにもかかわらず、会社の利益となるため罰金を請求し、罰金の最終責任はCiseroのようなマーチャントが負うことになります。
また、レストランオーナー達は、その不正利用が彼らのレストランで実際に発生したことを証明できるかどうかを疑問視しています。
不正利用がレストランで起こったことを"証明"するための方法論が問題です。彼らの店舗で支払カード情報を取り込んだ際に不正利用が発生したという証拠を求め、オーナー達は第三者のセキュリティ会社2社に調査依頼をしましたが、彼らのレストランで不正利用が発生したという証拠は何も発見されませんでした。
結果にかかわらず、中小企業へのメッセージは「不正利用を防ぐためには、機密データを取り扱う可能性のある契約プロバイダーのセキュリティスタンスを知ることを含め、自らがすべてアクションを起こさないといけない」ということです。
もしあなたが中小企業のオーナーで、不正利用防止が専門知識外のものだとしても、毎年セキュリティ監査を行うことは、非公式のものであれ有意義なものです。
もちろん中小企業(または大企業)の中には、独自の機密データを暗号化するという非常に低コストで実装可能な、また、攻撃を阻止し、公共へ恥をさらすことの回避につながる基本的な手段をも用いていないところもあるのが現状です。
出典:blog.eset.com
