記事登録
2008年10月15日(水) 08時41分

WEPを禁止する新基準、クレジットカード業界が作成ITmediaエンタープライズ

 小売り大手TJ Maxxからのクレジットカード情報の漏えいなど、相次ぐ情報流出事件を受けて、クレジットカード業界がデータセキュリティ基準(PCI DSS)の変更を発表した。英セキュリティ企業Sophosの研究者がブログで伝えている。

 Sophosのグラハム・クルーリー氏のブログによると、クレジットカード業界PCIの新規定では2010年以降、カード情報を店頭の端末からサーバに送るといった情報処理の過程で、無線通信の暗号化技術WEPを使うことを一切禁止した。2009年3月31日以降、WEPを使った新システムを導入することも禁止した。さらに、Windowsへのウイルス対策ソフト導入だけでなく、全OSにマルウェア対策を義務付けた。

 今回の基準変更は、WEPの利用をやめてWi-Fi Protected Access(WPA/WPA2)など、より強力な暗号化基準に切り替えることの重要性を裏付けるものだとクルーリー氏は解説する。

 情報流出を引き起こしたTJ Maxxなどは、クレジットカード情報の暗号化は行っていたものの、簡単に破られてしまうWEP技術を使っていたとみられるという。

 実際にはクレジットカード情報を扱っている企業は顧客情報が犯罪者の手に渡ることのないよう、PCIのコンプライアンスよりもさらに進んだ対策を講じる必要があるとクルーリー氏は指摘している。

【関連記事】
→ 「クレジットカード」 最新記事一覧
→ 「暗号化」 最新記事一覧
無線LANのWEP暗号、60秒でクラッキング
有線と同等、のはずがそうではなかった暗号化の「予想外」 (1/3)
無線LANや携帯データ通信の落とし穴と対処策

http://headlines.yahoo.co.jp/hl?a=20081015-00000027-zdn_ep-sci

最新のニュース記事一覧
お問い合わせ