セルフチェックアウト、IoT、小売業のサイバーセキュリティ脅威の台頭

Apple、Google Pay、またはその他の支払いプラットフォームを介したセルフチェックアウトの採用が増えるにつれて、サイバーセキュリティの脅威は小売企業にとって大きな懸念となっています。 2005 年以来、小売業者は 10,000件のデータ侵害、主に支払いシステムの欠陥と脆弱性が原因です。

販売時点管理 (POS) システムは、多くの場合、大量の外部ハードウェア、ソフトウェア、およびクラウドベースのコンポーネントを利用します。

「少なくとも、小売業者は、契約当事者がそれらを遵守し、会社自体が持っているのと同じセキュリティコンプライアンス要件を遵守することを保証する必要があります. サイバー犯罪者がシステムを悪用する機会は数多くあります。これは、ソリューションを提供するベンダーのソースであろうと、テクノロジーがオンサイトで展開されている場合であろうと、さまざまです。 POS デバイス (またはバックエンドのクラウド サービス) で使用されるソフトウェアの脆弱性を悪用すると、サイバー犯罪者が POS デバイスにマルウェアを展開する可能性があります。 これにより、金融データを収集したり、ランサムウェアなどのマルウェア攻撃を仕掛けたり、デバイスを使用して他の内部システムに接続したりすることがさらに可能になります」と、ESET のチーフ セキュリティ エバンジェリストである Tony Anscombe は述べています。

小売業者に対するサイバー攻撃の影響には、多額の罰金、罰則、データ損失、金銭的損失、および風評被害が含まれる可能性があります。

もあります ユーザーが IoT デバイスを使用する際に直面するセキュリティの脅威 小売で。 組織の 84% 以上が使用しています IoTデバイス. しかし、サイバー攻撃に対してしっかりとしたセキュリティ対策を講じている企業は50%未満です。 たとえば、ほとんどの組織は同じパスワードを長期間使用しているため、ブルート フォース攻撃が増加し、ハッカーがデータを盗んだり操作したりできます。

IoT デバイスを使用して顧客の動きや購入履歴を追跡することができ、ハッカーがこのデータにアクセスできる可能性があります。 さらに、Apple Pay などの支払いプラットフォームを使用すると、顧客が詐欺に遭う危険性があります。 これらの詐欺は、個人情報を盗む偽のアプリや、顧客をだましてクレジット カードの詳細を入力させる Web サイトなど、さまざまな形態をとる可能性があります。

「これらの新しい支払いメカニズムの導入は、新しいテクノロジー採用サイクルの始まりを示しています。 セキュリティの観点から、これは通常、物事が最も脆弱なときです。 さらに、この変革を推進するコネクテッド デバイスは、他のはるかに成熟した展開シナリオではすでに最も弱いリンクと見なされています。 小売業では、他の業界と同様に、これらのデバイスが悪用されて、持続的なネットワーク プレゼンスの獲得、機密データの公開、デジタル詐欺の実行などが行われると考えています。 そして、たとえ新しいデバイス自体が非常に安全であったとしても (これは大きな IF です)、それらは依然としてレガシー IoT でいっぱいの環境に導入されており、それを使用して自身の防御を回避することができます。 悪役の観点から物事を見ると、ここにあるのは攻撃対象領域の大幅な拡大です。これは、すでに標的が豊富な環境に、多くの新しい高価値の「機会」を追加するものです。」コード不要でデバイス常駐の IoT セキュリティ、観察、分析を行う企業である Sternum の CEO 兼共同設立者。

各 IoT デバイスには、内部に独自のソフトウェア サプライ チェーンがあります。 これは、デバイスを実行するコードが、実際にはいくつかのクローズド ソース プロジェクトとオープン ソース プロジェクトの組み合わせであるためです。 そのため、最も差し迫った脅威の XNUMX つは、クライアントの機密情報や個人情報がサイバー詐欺によって漏洩することです。 「これは、フィッシングやその他の種類のソーシャル エンジニアリングなど、他のデジタル詐欺とは異なります」と Tshuva 氏は述べています。

「ここでは、ターゲットは警戒によって攻撃を防ぐオプションを持たないか、何かが起こっていると疑うことさえできません。手遅れになるまではそうではありません.」.

「私たちは接続されたデバイスに囲まれていますが、それらは私たちにとって「ブラック ボックス」であり、実際に内部で何が起こっているのかを知ることはできません。

Tshuva 氏によると、今日のほとんどの IoT デバイスは、いくつか (おそらく数十社) の異なるソフトウェア プロバイダーのコードで既に実行されており、その中には聞いたことのないものもあります。 通常、これらのサードパーティ コンポーネントは、暗号化、接続、およびその他の機密機能を担当します。 また、オペレーティング システムでさえ、いくつかの異なる OS を組み合わせたものである可能性があります。」

「これにより、IoT セキュリティの主要な課題の XNUMX つが明らかになりましたが、これもまた、攻撃対象領域を拡大するという考えにまでさかのぼります。 システムに導入するすべてのデバイスに実際に追加しているのは、いくつかのソフトウェア プロバイダーからのコードの組み合わせであり、それぞれに独自の脆弱性が混在しているからです」と Tshuva 氏は締めくくっています。

小売業者は、自社とその顧客をサイバー セキュリティの脅威から保護するために、多くの対策を講じる必要があります。 彼らは、最新のセキュリティ パッチを適用してシステムを最新の状態に保つ必要があり、包括的なセキュリティ プランも用意しておく必要があります。 従業員はセキュリティの脅威を特定して対応する方法についてトレーニングを受ける必要があり、顧客は小売業で IoT デバイスを使用するリスクを認識する必要があります。

「小売業者は、顧客の位置を監視するために IoT を採用するにつれて、消費者の動きと購買習慣に関する豊富なデータセットを構築します。 これらの記録は、購入情報と動きが結びついて非常に個人的な習慣を明らかにする可能性があるため、非常に慎重に保護する必要があるデータ証跡を作成します。 小売店の購入時点での標的型攻撃が無数に見られます。これが、顧客が店舗、ショッピング モール、さらには都市や大陸を越えてたどる経路と組み合わせることができれば、消費者は、 Yale Privacy Lab の創設者である Sean O'Brien 氏は次のように述べています。

脅威を理解するために、組織は、小売業がデジタル ソリューションを採用することは、ソフトウェアに依存するソリューションを採用し、サイバー犯罪者の攻撃対象領域を増やすことを意味することを理解する必要があります。

「以前は機械式のキャッシュ レジスターであったものは、顧客の支払い情報を処理および収集する「スマートな」POS となり、顧客を望ましいターゲットにしています。 これらのシステムは、オンライン ショップ/請求/在庫などの優れた e コマース ソリューションに接続されることが多く、より重要なシステムへのエントリ ポイントになる可能性があります。 スマート ソリューションに依存している小売業は、取引を行う能力をブロックするランサムウェアやサービス拒否攻撃の影響を受けやすいことにも気付きます。 また、小さなコンピューターである PoS デバイスは、大規模なボットネット攻撃に使用される可能性があります」と、CTO で Checkmarx の創設者である Maty Siman 氏は述べています。

E コマース企業は、プロセスにさまざまなベンダーを使用しています。 ハードウェアやソフトウェアから運用サービスや金融サービスに至るまで、すべてのベンダーがサードパーティ製のソフトウェアやコンポーネントをさらに使用しており、それらもサードパーティ製のコンポーネントに依存しています。

「悪意のある攻撃者が途中で任意のコンポーネントを悪用したり、「バックドア」を導入したりできる場合、彼らは基本的に、後で小売業で見つけることができる最終的なソリューションにアクセスできます. すべてがソフトウェアに依存している昨今、オープンソース ソフトウェアへの依存がこれらの問題を深刻化させています」と Siman 氏は述べています。

Siman 氏によると、セキュリティのベスト プラクティスに関する従業員の教育は不可欠です。 「データは定期的にバックアップする必要があり、小売業者のユーザーは強力なパスワードと MFA を使用する必要があります。 トランザクションに使用されるネットワークは他のネットワークから分離する必要があり、デバイスとそのソフトウェアは定期的に更新してパッチを適用する必要があります。」

Optiv の IoT/OT セキュリティ リーダーである Sean Tufts 氏は、依然として人間が最も顕著な脅威であると述べています。 「POS やレジでの従業員の数が減ったり、対面でやり取りしたりすることが少なくなると、物理的な盗難が増えますが、これらの小売業者は、店舗のセキュリティを悪用しようとする精通した脅威アクターによる改ざんにさらされることにもなります。信頼。 これらのマシンが放置されれば放置されるほど、スキマーのインストールやポートへのアクセスなど、より多くのインターフェースを操作できるようになります。」