PCI コンプライアンスが合格または不合格になる理由を以下に示します。サービスは、『PCI ASV Program Guide』(英語)の要件に準拠しています。
いくつかの例外を除いて、CVSS 基本値が 4.0 以上の脆弱性は、自動的に不合格になります。CVSS スコアは、NIST データベースからインポートされます。CVE を持たない脆弱性については、サービスにより独自の CVSS スコアが割り当てられます。
対象のコンピュータで実行されているソフトウェアとオペレーティングシステムのバージョンが、サービスによって特定されます。すでにベンダがサポートしていない古いバージョンの場合、自動的に不合格となります。
オペレーティングシステムについて多くの悪用や脆弱性が新しく継続的に発見されており、このようなセキュリティ問題に対処するためにセキュリティパッチがリリースされています。悪用や脆弱性からオペレーティングシステムを保護するには、ソフトウェアパッチをできるだけ速やかに適用することが重要になります。
サービスは、インターネットからのデータベースに対するオープンアクセスを検出します。この設定は PCI DSS の第 1.3.7 項に違反しており、自動的に不合格となります。
データベースについて脆弱性や悪用が新しく継続的に発見されており、このようなセキュリティ問題に対処するためにセキュリティパッチがリリースされています。悪用や脆弱性からデータベースを保護するには、パッチをできるだけ速やかに適用することが重要になります。
ルータ、ファイアウォール、オペレーティングシステム、Web サーバ、データベースサーバ、アプリケーション、POS システム、その他のコンポーネントのビルトインアカウントまたはデフォルトアカウントについて、テストとレポートが実行されます。このような脆弱性がある場合は、すべて自動的に不合格になります。
ハードウェアベンダおよびソフトウェアベンダでは、ビルトインアカウントまたはデフォルトアカウントとパスワードを使用することで、顧客の製品への初回ログインを可能にしています。このようなアカウントの中には、パスワードがまったく設定されていないことも、またベンダによってあらかじめパスワードが設定されていることもあります。こうしたデフォルトアカウントやパスワードは、ハッカーのコミュニティではよく知られているため、システムが攻撃に対して脆弱となる原因となっています。このようなアカウントについては、カード会員データを保持しているシステムを保護するために強力なパスワードを割り当てるか、アカウントを無効にしておく必要があります。
サービスは DNS サーバの存在を検出し、制限のない DNS ゾーン転送を含む既知の脆弱性と設定の問題を検出します。制限のない DNS ゾーン転送が検出されると自動的に不合格になります。
DNS サーバは、ドメイン名を IP アドレスに変換することによってインターネットアドレスを解決します。カード会員データを保存している加盟店では、独自の DNS サーバ、または加盟店の ISP によってホストされる DNS サーバを使用することがあります。DNS サーバに脆弱性があると、加盟店またはサービスプロバイダの Web ページに見せかけることで、攻撃者はカード会員データを収集することができます。カード会員データを保護するには、DNS サーバを検出し、既知の脆弱性と設定の問題を検出することが重要になります。
Web アプリケーションサーバの存在を検出して、これらのサーバにあるすべての SQL インジェクションの脆弱性を検出する必要があります。悪意のある個人は、Web アプリケーションの脆弱性を悪用して、カード会員データを保存している可能性がある内部データベースにアクセスすることがよくあります。
SQL インジェクションは、Web サイトのソフトウェアにあるセキュリティ上の脆弱性を悪用するときに使用されるコードインジェクションテクニックの 1 つです。これが悪用されると、SQL コマンドが Web フォームからアプリケーションのデータベースに挿入(インジェクション)されて、データベースの内容が書き換えられたり、クレジットカードのデータやパスワードなどのデータベースの情報が攻撃者からまとめて抜き取られたりします。カード会員データを保存している内部データベースに攻撃者がアクセスしないようにするため、SQL インジェクションの脆弱性を検出することが重要です。
Web アプリケーションサーバの存在を検出して、これらのサーバにあるすべてのクロスサイトスクリプティングの脆弱性を検出する必要があります。悪意のある個人は、Web アプリケーションの脆弱性を悪用して、カード会員データを保存している可能性がある内部データベースにアクセスすることがよくあります。
クロスサイトスクリプティングは、Web アプリケーションに見られるセキュリティ上の脆弱性の 1 種です。これらの脆弱性が悪用されると、他のユーザによって閲覧されている Web ページに、クライアント側のスクリプトが挿入(インジェクション)されます。こうした脆弱性により、攻撃者は Same Origin Policy(同一生成元ポリシー)などのアクセス制御を回避できます。カード会員データを保存している内部データベースに攻撃者がアクセスしないようにするため、クロスサイトスクリプティングの脆弱性を検出することが重要です。
Web アプリケーションサーバの存在を検出して、これらのサーバにあるすべてのディレクトリトラバーサルを検出する必要があります。悪意のある個人は、Web アプリケーションの脆弱性を悪用して、カード会員データを保存している可能性がある内部データベースにアクセスすることがよくあります。
ディレクトリトラバーサル(またはパストラバーサル)は、ユーザが提供した入力ファイル名のセキュリティ検証や無害化が不十分であることを悪用するものです。悪用に成功すると、「親ディレクトリへの移動(トラバーサル)」を表す文字がファイル API に渡されます。このタイプの攻撃では、Web アプリケーションのセキュリティの欠陥が悪用されるため、ディレクトリトラバーサルを検出することは重要です。このような脆弱性があると、カード会員データとこれを保存しているシステムが攻撃に対して脆弱になります。
Web アプリケーションサーバの存在を検出して、これらのサーバにあるすべての HTTP レスポンス分割またはヘッダインジェクションの脆弱性を検出する必要があります。悪意のある個人は、Web アプリケーションの脆弱性を悪用して、カード会員データを保存している可能性がある内部データベースにアクセスすることがよくあります。
HTTP レスポンス分割は、アプリケーションまたはその環境が入力値を適切に無害化できなかったために生じる Web アプリケーションの脆弱性です。ヘッダインジェクションは、ユーザの入力に基づいて HTTP ヘッダを動的に生成するときに生じる Web アプリケーションの脆弱性です。これらの脆弱性が悪用され、クロスサイトスクリプティング攻撃やその他の悪用が実行される可能性があります。このタイプの攻撃では、Web アプリケーションのセキュリティの欠陥が悪用されるため、HTTP レスポンス分割またはヘッダインジェクションを検出することは重要です。このような脆弱性があると、カード会員データとこれを保存しているシステムが攻撃に対して脆弱になります。
サーバにインストールされているリモートから検出可能な既知のバックドアアプリケーションは、検出されてレポートされます。ルートキット、バックドア、トロイの木馬プログラムなどのマルウェアが存在すると、自動的に不合格になります。
バックドアは、ハッカーのコミュニティでよく知られていることが多い悪意のあるソフトウェアアプリケーションの 1 つです。バックドアアプリケーションによってカード会員データを保存しているシステムにリスクが発生するため、この悪意のあるソフトウェアは、識別されて除去される必要があります。
SSL バージョン 2.0 以前をサポートしているコンポーネント、または 128 ビット暗号を使用する SSL v3.0/TLS v1.0 をサポートするコンポーネントを SSL v2.0 と組み合わせると、強制的ダウングレード攻撃のリスクがあるため、自動的に不合格になります。
SSL(Secure Sockets Layer)は、インターネット上でのメッセージ送信のセキュリティを管理するために一般的に使用されているプロトコルです。TLS(Transport Layer Security)は SSL に基づいており、通信を行うアプリケーションとインターネット上にいるこのアプリケーションのユーザとの間でプライバシーを確保するためのプロトコルです。SSL 2.0 以前に影響する、悪用が容易なよく知られた脆弱性があります。これらのセキュリティの問題により、伝送中の暗号化されたデータを傍受または改変することが可能となります。また、強制的ダウングレード攻撃と呼ばれる別の脆弱性もあります。これは、一定の条件下で無防備なクライアントを欺いて安全性のより低い SSL v2.0 にダウングレードするというものです。PCI DSS 要件では、強力な暗号技術とセキュリティプロトコルを導入する必要があり、SSL v2.0/TLS v1.0 は強制的ダウングレード攻撃のリスクがあるため、最低基準とされています。
PCI Council のガイダンスに従い、サービス不能(DoS)の脆弱性を不合格としてはなりません。