クレジットカードのデジタルな決済に必要な暗号化プロトコルのアップグレード期限が、2018年6月末にやってくる。セキュリティの観点からはよい話だが、古いデヴァイスを使っている人や、移行が済んでいない小売業者に頼っている人は、そうも言っていられない。

デヴァイスからデータが送信される際には、途中で傍受や改ざんをされないように保護する必要がある。とりわけ金融取引のような機密にかかわる通信は、こうした保護が重要だ。

クレジットカード詐欺の増加を受け、「PCI Security Standards Council（PCI SSC）」は2017年、デジタルによるクレジットカード決済に用いられている問題の多い古い暗号化プロトコル「TLS 1.0（Transport Layer Security 1.0）」を、より安全なものに置き換えるべく段階的に廃止していくと発表した。その移行期限が6月30日なのだ。

独自の決済処理サーヴァーを運用している小売業者は例外として、PCI準拠のコマースプラットフォームを使っている組織（つまり、ほぼすべての組織）は、ウェブサイトと決済端末の暗号化プロトコルを、まだであればアップグレードする必要がある。

クレジットカードリーダーが数台でウェブサイトが1つという小売業者ならアップグレード自体は簡単だが、そもそもアップグレードの必要性を理解していなければならない。決済端末が何千台もあり、ウェブに大々的に展開している大きな企業なら、アップグレードはより深刻な問題になる。

期限が迫ったいまも、まだあたふたしている企業は存在する。最悪の場合、クレジットカードの決済が不可能になってしまうからだ。

顧客と協力して移行の準備を進めているソフトウェアプロヴァイダー、アメリコマース（AmeriCommerce）で事業担当ヴァイスプレジデントを務めるジャック・クレイビーは、「暗号化プロトコルのアップグレードは、電子商取引プラットフォームの世界では大きな問題になっています。というのも、その導入手法が小売業者によって異なるからです。決済が失敗しないようにするには、各小売業者が最新の状態にする必要があります」と語る。「まだアップグレードしていない多くのプラットフォームは、すみやかに真剣に取り組まないと面倒なことになるでしょう」

古いOSやブラウザーに潜む危険

問題になる可能性があるのは、小売業者だけではない。古いデヴァイスやソフトウェアは新しい暗号化プロトコルに対応していないことがあり、ユーザー側でも決済がうまくいかない可能性がある。

ただ、今回のクレジットカード決済の安全化の動きとは無関係に、多くのサイトはすでにこの数年間で、より安全な暗号化プロトコルに移行している。このため対応していない古いデヴァイスを使っている人は、もう気づいている可能性が高い。

例えば、大昔のAndroid端末や、出来のよくないAndroidベースの独自端末、かなり古いiOSなどが該当する。それでも、「TLS 1.1」や「TLS 1.2」に対応した十分に新しいブラウザーを使えているなら、今回の問題は回避できるだろう。

自分のデヴァイスが心配だという人は、このツールを試してほしい。クラウドセキュリティー企業のクオリス（Qualys）が提供しているもので、ブラウザーの対応状況をチェックできるようになっている。

暗号化プロトコルのアップグレードを推進する今回の動きは、データ保護の種類を統一しようというテック業界全体のより大きな取り組みを反映したものだ。例えば、緑色の小さな南京錠がブラウザーに表示される場合、ウェブサーヴァーとブラウザーの接続、それぞれの認証、および経路を通るデータの傍受防止にTLSが使われていている。

デジタル決済にはこれまで、TLS 1.0、1.1、1.2が使われていた。しかし、1999年に整備されたTLS 1.0の“老朽化”は明らかで、脆弱性を突く「POODLE（プードル）攻撃」などさまざまな問題が判明している。2006年から使われているTLS 1.1や、2008年に登場し広く使われているTLS 1.2にも、それぞれ問題はあるが、少なくとも、TLS 1.0のもつ最悪な危険性の一部は排除されている。

業界を挙げたアップグレードは進んだが…

「Open Crypto Audit Project」のディレクターであるケネス・ホワイトは、「14年冬から15年にかけて、TLS 1.0で保護されているネットワークのトラフィックを攻撃者が完全に解読できる脆弱性がいくつも見つかりました」と語る。「これはプロトコルの根本的な設計の問題であり、簡単に修正できるものではありません」

多くの小売業者は先を見越して、何年も前にTLS 1.0からアップグレードしている。PCI SSCが「極めて重要」だとするこの移行は、1年以上の準備期間があった。

ペイパルやアメリコマースなどのプラットフォームは、顧客にサポートを提供するほか、まだアップグレードしていない小売業者が状況の重大さを実感できるように、TLS 1.0のサポートを1回1時間ほど遮断する「スモークスクリーン」を数カ月にわたり実施している。

業界を挙げたこうした推進の結果、大手小売業者の大半では、顧客が決済の際に問題に直面することにはならないだろう。しかし、そうでない業者や、デジタル決済が中心ではないところについては、まだ問題が残っている可能性がある。

アメリコマースのクレイビーは、「1.0を使っている迷い鳥は、おおかた数えるほどでしょうが、取扱量は多いかもしれません。重要ではないと言い切ることは難しいので、とにかく警告を進めています」と語る。「弱いプロトコルですし、既知のエクスプロイト（脆弱性を突くプログラムなど）があります。使い続けると詐欺や情報窃盗のリスクがあるなで、重要な問題です」

ほかの移行作業と同様に、ある程度の問題が生じることは識者たちも想定している。その上で、TLS 1.0はやめるメリットがあり、とうの昔にやめておくべきだったのだという。送金などが関係したウェブトラフィックについては、なおさらである。