VISAのページによると、BINの桁数8桁に移行は2022年4月ビジネスリリースとあります。
PCI SSCのFAQ（上記参照）には、BIN桁数が増えることを前提にしたマスク方法が記載されているので、やっと来たかという感覚です。
ペイメントアプリケーションやホストなどでBINの桁数を固定にしている組織は、システム改修に相当のインパクトがあると思います。

引き続き2020年を振り返り、今年新たに注目を浴びているセキュリティ脅威と、あわせて関連するPCI DSSの要件を紹介します。

-ランサムDDoS（DDoS脅迫）　
DDoS攻撃の中止と引き換えに金銭を要求する攻撃です。DDoSは新たな脅威ではありませんが、依然として被害にあう事例が絶えず、被害は深刻です。
地方銀行、オンライン決済サービス事業者、金融関連サービス、旅行代理店、eコマースなどが標的となっており、サービスが停止することでビジネスに大きな影響が及ぶ事業者が狙われています。近年ではIoT機器が踏み台となるケースが増えています。
DDoS攻撃対策ツールの導入や、定期的な脆弱性検査やパッチ適用、IoT機器含めアプリケーション、デバイスの更新で常にセキュリティの強度を高め、リスクの低減化に努めることが推奨されます。

-テレワーク等のニューノーマルな働き方を狙った攻撃
テレワーク・リモートワークは、セキュリティ対策が施されているオフィス環境と異なり、リモートアクセス環境は様々なパターンが想定されます。私物のPCか会社からの貸与か、自宅から会社の通信はVPNを利用しているか、外部インターネット接続を含め全通信がVPN経由か等々、環境により脅威も多様化します。個々の説明は別の機会にするとして、いずれのパターンに共通していえる基本的な対策を述べたいと思います。
・テレワーク・リモートワークにおいても安全なセキュリティポリシーを整備すること。
・使用しているPCは常に最新のパッチを適用し、脆弱性を突かれないようにすること。
・セキュリティ教育を徹底すること。

PCI DSSはクレジットカード情報を守るセキュリティ基準になりますが、リモートアクセス含め社の機密情報を守るセキュリティ対策としても活用できる、体系的で定量的な基準になります。対策、運用や技術面の参考にしてください。

要件1.4リモートで使用するPCのセキュリティ対策
要件5.2アンチウイルス更新と定期スキャン
要件6.1、6.2セキュリティ脆弱性の把握とパッチ対策
要件8.3 多要素認証、8.4パスワードの保護
要件11.2、11.3 脆弱性スキャン、ペネトレーションテスト
要件12..3　PC未使用時のセッション自動切断、PCに重要情報を保存しないなど
要件12.6　セキュリティポリシー教育

2020年を振り返り、2021年も引き続き注目していきたいセキュリティ脅威のひとつ、「標的型攻撃におけるランサムウェア」を紹介します。

〇標的型攻撃におけるランサムウェアを用いたファイル暗号化
ランサムウェアは、一般的にメール添付ファイルを不用意に実行することによって感染し、ファイルが暗号化される身代金要求系のマルウェアです。そのランサムウェアが標的型攻撃において悪用され始めたのが2020年の大きなトピックとなりました。

標的型攻撃は、ターゲットとなる組織のコンピュータネットワークに様々な手法を用いて侵入し、機密度が高く、価値ある情報を秘密裏に盗み出す、長期間に及ぶセキュリティ脅威であり、侵入されていること、情報を盗み出されることなどを悟られないように工作活動を続け、機密情報等を長年にわたって盗み続けるのが一般的です。

ですが、2020年に見られた標的型攻撃では、侵入に成功した後、ファイルサーバを特定し、当該サーバ上のデータを盗み出した後に、攻撃者によって実行されたランサムウェアによってファイルが暗号化され、身代金をも要求する攻撃活動が見られました。従来の長期にわたる秘密裏の工作活動から、ファイル暗号化による事業活動の妨害・身代金の直接請求へと、その脅威が大きく変化しています。

このランサムウェアを標的型攻撃に組み合わせる脅威は、次の点で、被害を受けた組織を悩ませました。まず、ファイル暗号化の影響による事業継続が困難な点、そしてもうひとつは、身代金の支払いを問わず盗みだされた情報をインターネット上にリークされる点です。つまり、標的型攻撃を受け、被害が発生したことを世間に隠し通せないことも、組織にとって大きな脅威になることが明らかになりました。

このような攻撃から組織を守るためには、従来から求められている基本的な情報セキュリティ対策の積み重ねが肝要です。また、被害が発生した時にはインシデント対応体制の存在も肝要です。サイバー攻撃の被害はIT部門に集中しますが、今回紹介した標的型攻撃では、経営層の関与がもはや不可欠になっていることも示唆しています。経営層とIT部門の連携のとれたインシデント対応体制、机上訓練の実施などが、今後ますます重要になろうかと思います。

ICMSでは、PCI DSS監査・ISMS審査を通じて、監査要件にしたがったインシデント対応訓練の実施状況、経営層とIT部門の連携状況を確認しています。組織規模により大小はあるものの、インシデント対応体制を整えている組織が増えていますが、今後も増加していくことを願っています。もし、このような社内体制の構築・改善に興味を持たれましたら、弊社も含め、ITセキュリティ関連企業にお問い合わせ頂き、新たなセキュリティ脅威への対応を推進されることをお勧めします。