1. 情報セキュリティブログ ホーム
  2. セキュリティニュース
  3. クレジット業界が無線通信の暗号化技術WEPの禁止を決定

クレジット業界が無線通信の暗号化技術WEPの禁止を決定

英セキュリティ対策企業のソフォス社の研究者が伝えたところによると、クレジットカード業界におけるグローバルセキュリティ基準PCI DSSが変更され、カード情報の処理過程で無線通信の暗号化技術WEPを使うことを禁止したということです。

WEPを禁止する新基準、クレジットカード業界が作成(ITmedia)

記事によると、今回のPCI DSSの変更は、カード情報の漏えいなど相次ぐ情報流出事件を受けて決定したものであるとのこと。

クレジットカード業界PCIの新規定では2010年以降、カード情報を店頭の端末からサーバに送るといった情報処理の過程で、無線通信の暗号化技術WEPを使うことを一切禁止した。2009年3月31日以降、WEPを使った新システムを導入することも禁止した。

情報流出を引き起こしたカード会社は、カード情報のやり取りの通信途上において、通信の暗号化は行っていたものの、暗号化技術にWEPを使っていた可能性があるということです。

WEPは、セキュリティ上の弱点が以前から指摘されているにもかかわらず、現在でも広く利用されているプロトコルで、今回の基準変更は、WEPの利用をやめてWPAWPA2など、より強力な暗号化技術に切り替えることの重要性を裏付けるものだと記事では言及しています。

さらに、記事は、クレジットカード情報を扱う企業は、顧客情報が犯罪者の手に渡ることのないよう、PCIのコンプライアンスよりもさらに進んだ対策を講じる必要があると結んでいます。

関連キーワード:

コンプライアンス

  • 脆弱性対策の基本は修正プログラムの適用との検証結果
  • カテゴリートップへ
  • Exploitability Indexとは