西武百貨店、無線POSの平文通信を知りながら即時回避策とらず 70
ストーリー by wakatono
他にも同様のところがありそうで恐い 部門より
他にも同様のところがありそうで恐い 部門より
jbeef曰く、"日経バイトの記事によると、西武百貨店は、無線POSシステムの電波に顧客のクレジットカード番号などを平文のまま乗せていたことを認めたという。無線LAN機能を持つノートパソコンを携帯して普通にパケットキャプチャすればカード番号を収集できる状態にあったという。そして、2003年1月末に暗号化する対策を完了したのだという。
記事によると、西武百貨店広報室長は「セキュリティを軽視していたわけではない」といい、「指摘を受けた点は以前から課題として認識し,計画的にその改善に取り組んできた。それが2003年1月末の改善である」のだという。つまり、カード番号を平文で電波に飛ばしているのを知っていながら、それを直ちに止める回避策をとらなかったということか。POSを止める回避策をとれば代替手段にコストがかかるのはわかるが、「顧客の個人情報保護を最優先に,セキュリティ対策に取り組んできた」と発言するのはいかがなものか。"
対策をとるまでの間にどの程度の数のカード番号が取得されたのかがすごく気になる。具体的な被害が出てきたらどうするつもりなのだろう…
2年に1回? (スコア:2, 興味深い)
>2年に1回はセキュリティの監査を受け
最悪、2年に1回しかしないの?せめて1年に1回だろう。
ってか、誰が監査するんだ?
----------------------------------------
You can't always get what you want...
外の人? (スコア:1)
# 数学は科学の女王にして奴隷
Re:外の人? (スコア:0)
中の人しかいない!
#本当にありそうなのでAC
Re:外の人? (スコア:1, 興味深い)
ただ、実際には形だけで、中の中の人が、中の上の人に、
「大丈夫です。」の一言報告で終わっているんじゃないかと疑ってみたり。
むしろ (スコア:1, 参考になる)
# かなりまずいのでAC
作ったところはここかな? (スコア:1)
実際の導入時に設定とかをやったかどうかは、また別の話だと思うけど。
----------------------------------------
You can't always get what you want...
Re:作ったところはここかな? (スコア:1)
POSを構築したのはNCR [ncr.co.jp]で間違いないそうです。
Re:作ったところはここかな? (スコア:0)
デパートに限らないでしょ (スコア:1, 興味深い)
情報漏洩対策の為と言う名目で、インターネットに繋がってるマシンが
他のマシンと物理的に切り離してあったのは良いとします。
しかし、同じブース内のネットワークに繋がってた無線APは、
暗号化もMAC弾きも無くフリースポット状態。
試しに手持ちのノートを立ち上げたらネットワーク丸見え。
直ぐさま担当者に進言して無線APを撤去させましたが、
周辺民家や道路までは十分電波が届いていたと思います。
"インターネットに繋いでなければ大丈夫!"
とか言う考えがコワイですね。
コワイのでAC
続報(というか、追加情報) (スコア:1)
IT Proの記者の目 [nikkeibp.co.jp]に、さらに詳しいことが出てます。
どこから漏れたかわかりやしないので平気さ (スコア:0)
どこからそのカード番号が漏れたか証拠はないので、問題ありません。
どこから漏れたかわかるので危険さ (スコア:2, すばらしい洞察)
どうしようもなかろう。
/* Kachou Utumi
I'm Not Rich... */
つーか、 (スコア:1, 参考になる)
それ以前に西武百貨店でカード決済したヒトは皆、
「これって西武で洩れたんじゃないの?」って疑うよな。
そして、西武にはその疑いを晴らす事は出来ないでしょ?
不正使用はカード利用者のミスが明らかで無い限り、
カード会社が損害を補填するって事で保険もかかってるはず。
実際に誰がその損を追うか、と言う問題を別にしても、
「西武はカード番号を洩らしたらしいよ」で信用性は失われる。
(カード利用者だけでなく、カード会社からも、)
そこまでの信用性のリスクは考えなかったのかなぁ。
大丈夫。ほとんどの消費者はこんな記事読まない (スコア:2)
> 「これって西武で洩れたんじゃないの?」って疑うよな。
記事読んだ人はね。ほとんどの顧客は読まない。
> 「西武はカード番号を洩らしたらしいよ」で信用性は失われる。
ほとんど失われません。安心です。
殆どの顧客は読まなくとも…(オフトピ) (スコア:1)
#燃料投下する必要も無く自然発火してそう(こら)
#そして、一般紙とか一般的なマスコミも騒ぎ出すと…
/* Kachou Utumi
I'm Not Rich... */
Re:殆どの顧客は読まなくとも (スコア:0)
後追い記事は書かないんじゃないかな。
Re:つーか、 (スコア:0)
“対策が必要であると知りながら顧客のカード情報を危険に晒した”
として損害賠償を請求することはできないのでしょうかね?
どこから漏れたか知りようがない (スコア:1)
西武百貨店でPOSシステムをこのようにして運営していたということはもちろん問題ですし、他にも似たようなケースがあるなら指摘して改善を求めていくべきでしょう。
しかし、クレジットカードを使用する側として、今回に限らず、いろんな手口(それこそ店員が実はクレジットカード偽造の組織とグルで…というケースまでありうるわけですから)による金銭的被害への最終的な防御として、クレジットカードの利用明細は毎月きちんと確認して、憶えのない利用記録は問い合わせるという対策が必要でしょう。
ここまでくるともう対策ですらなく、被害がなくても当たり前にやるべき事なので、今更言っても新しさはないですが。
それから、利用履歴がバレバレなのは困る、というヒトは…もう、クレジットカード使うな、と言うしかないのかも。
Re:どこから漏れたか知りようがない (スコア:0)
>というケースまでありうるわけですから
これは数日前に読売の特集記事で触れられていましたね。
アルバイトとして潜入し、読みとり機械に装置を仕掛けておくという
Re:どこから漏れたか知りようがない (スコア:0)
カードリーダーとレジとの間に機械を繋げて、カードから読み取った情報を抜き取ったり、
お客さんからカードを預かったら、吸出し用カードリーダーと正規のカードリーダーの両方に読ませたりとか。
暗号化を実装しているPOSシステムのほうが少ない? (スコア:0, 余計なもの)
> 暗号化を実装しているPOSシステムのほうが少ないような。
Re:暗号化を実装しているPOSシステムのほうが少ない? (スコア:1)
門外漢なのですが、そもそも無線化される前には暗号化の必要性の議論ってのは無かったのでしょうか。 元記事では「無線LANの危険性は」云々などと書かれているが、メディアの脆弱性をトリガにセキュリティを考えるなんてのは、本末転倒だと思います。 POSに詳しい人の意見を伺いたいです。
Re:暗号化を実装しているPOSシステムのほうが少ない? (スコア:1)
担当者がこういった情報を入手して上に提案し、承認されて実行するのに2ヶ月。
長いかなぁ…長いんだろうなぁ…。
いつから知っていたのか (スコア:0)
となっていますね。そして、
Re:いつから知っていたのか (スコア:1)
Re:暗号化を実装しているPOSシステムのほうが少ない? (スコア:1)
Koichi
Re:暗号化を実装しているPOSシステムのほうが少ない? (スコア:1)
要は構築担当者・予算権限者あたりがどの位の意識を持ているか、ということで。
マイナスモデレート希望(T/O) (スコア:0)
Re:暗号化を実装しているPOSシステムのほうが少ない? (スコア:0)
サブジェクトをちゃんと付けよう (スコア:0)
Re:サブジェクトをちゃんと付けよう (スコア:2, 参考になる)
「コメントの投稿」の際の重要事項より抜粋。
Re:サブジェクトをちゃんと付けよう (スコア:1, すばらしい洞察)
その点の指摘の仕方がフレームの元
Re:サブジェクトをちゃんと付けよう (スコア:1, 参考になる)
Re:暗号化を実装しているPOSシステムのほうが少ない? (スコア:0)
無線LANを利用しているPOSで暗号化を実装していないのが問題。
ところでメーカーはどこなんでしょう?
西武百貨店くらいになると大手のPOSが入っていると思いま
Re:暗号化を実装しているPOSシステムのほうが少ない? (スコア:2, 興味深い)
部外者です。^^;
もしかして POS とネットワークを別会社にしてたってことはあるのかなー、と気になった。仮にそうだとすると責任はどこにいくんだろう。教えて偉い人~。
他の小売業への影響 (スコア:0)
>大手のPOSが入っていると思いますが、 大手のPOSというものは複数
>の顧客に納品しているものなので、 西武百貨店以外にも影響がある
>かも。
もし他の小売業にも納品してるとしたら・・・
西武百貨店がこういう発表をすれば、他の小売業は当然対策をせざるを得ない。
西
Re:暗号化を実装しているPOSシステムのほうが少ない? (スコア:1)
機密情報は、どんな媒体を通じてであっても、暗号化して置くに超した事はないと思います。
Re:暗号化を実装しているPOSシステムのほうが少ない? (スコア:0)
Re:暗号化を実装しているPOSシステムのほうが少ない? (スコア:4, 参考になる)
・カードに記載されている氏名
・カード番号
・有効期限
の3つが分かれば、オンラインショッピングに使用できるので、機密情報と言って良いと思います。
Re:暗号化を実装しているPOSシステムのほうが少ない? (スコア:0)
Re:暗号化を実装しているPOSシステムのほうが少ない? (スコア:0)
Re:暗号化を実装しているPOSシステムのほうが少ない? (スコア:1)
ですよ。カードの番号が分かっているなら、カード決済の取引を作る事が出来ます、カード保有者がその取引を行ったかどうかは関係無く。通販での買い物をカード決済にする場合、売上票なんざ起こさないでしょ?
表面に刻印してある番号だけでなく (スコア:1)
Re:表面に刻印してある番号だけでなく (スコア:4, 参考になる)
Re:表面に刻印してある番号だけでなく (スコア:0)
まぁ、よくあるCAT(S-CAT)端末のスキミングが
堂々と可能だったってところで
Re:暗号化を実装しているPOSシステムのほうが少ない? (スコア:0)
もともと西武って体力ガタガタなんだから、中小の系列ソフトハウスに安価で構築させたんでしょ。
系列(セゾンカード) (スコア:0)
「暗号化」って (スコア:0)
Re:「暗号化」って (スコア:1, 参考になる)
##内情を知っているのでAC
Re:意味不明は別の処にあると…… (スコア:1)