百貨店で使用されているPOS機器から個人情報漏洩の危険性 75
ストーリー by Oliver
WEPでもまったく足りない 部門より
WEPでもまったく足りない 部門より
Wildcat 曰く、 "SNS によると、百貨店等で使用されている無線 LAN 対応 POS機器の設定によって個人情報が漏洩する危険性があるそうです。WEPによる暗号化が行われていないものがあり、尚且つSSIDから場所を推測可能なものもあるそうで、これは危ないですね。クレジットカード情報や購入商品情報が漏れ漏れになる可能性あります。しばらく百貨店でカードは使わない方が良いですね。"
アプリケーションレベルで暗号化 (スコア:3, 参考になる)
修正されないとなると、これは結構大きな社会的問題だと思いますが、平文で流れている確証が得られなければマスメディアも扱えないでしょうし、事件が起きなければ警察も動けないでしょうね。どうしたら解決の方向に向かうのだろうか……。
Re:アプリケーションレベルで暗号化 (スコア:2, すばらしい洞察)
まずは口コミでこの話を広げる。
あとは誰かが実際に傍受して平文かどうかを確認して発表すれば良いんじゃないかな。(自分で買い物している時に自分で傍受してもよいし、関係者に傍受させても良い)
もちろん放っておいてもラジオライフやアクションバンドのような雑誌はやってしまうと思う (ああいう雑誌からするとこんなおいしいネタはないよね)。
(´д`;)
Re:アプリケーションレベルで暗号化 (スコア:1)
多分、不正アクセス防止法や電波法あたりに引っかかりかねないので、マトモ(?)なマスコミでは扱いにくいのではないでしょうか?
ラジオライフやアクションバンド電波あたりに期待しましょう。
Re:アプリケーションレベルで暗号化 (スコア:2, 興味深い)
傍受した内容を他人に漏らすのが駄目なだけで。
(葉書と同じような扱いということかな)。
だから後々公表するために実験するとしたら自分で買い物している時に自分の情報が漏れているかを自分で確認するとか、あるいは協力者に買い物させてその時に漏れているかを確認するという方法しかないと思う。
(´д`;)
Re:アプリケーションレベルで暗号化 (スコア:1)
> 傍受した内容を他人に漏らすのが駄目なだけで。
その通り。だから、傍受した内容が暗号化されているとかされていないとか、そういう事には言及しにくいわけでしょう。
Re:アプリケーションレベルで暗号化 (スコア:0)
通信の内容が自分に関わることであったとしても、
あくまでも自分は通信の当事者じゃないので、
やっぱり傍受したことを他人に洩らしてはダメな様な気がします。
#厳密な法解釈はわすれたので無線従事者だけどAC
Re:アプリケーションレベルで暗号化 (スコア:2, 参考になる)
だから報告でも「ただし、通信の傍受は行っていませんので、個人情報漏洩の事実は確認していません」と断り書きがついているわけで。
総合通信局の人に聞いた話なのでそれほど外してはいないと思いますが詳しい方の突っ込み歓迎。
今年の目標考え中
特定の相手方に対して行われる無線通信 (スコア:2)
# 放送法の「放送」とは違うケド
確かめてみたいし、公表してみたいけど、従免を持っていて、1年以下の懲役または50万円以下の罰金が2倍になってしまうからパス
Copyright (c) 2001-2014 Parsley, All rights reserved.
Re:アプリケーションレベルで暗号化 (スコア:1)
ということは当事者に漏れてて危ないですよと忠告することすら駄目で、犯罪者にデータ吸い取られ放題ってことになると思うんだが。やっぱ被害が拡大して警察が犯人捕まえるまで放置? しかし一度漏れた情報は取り返しがつかないんだが。
(´д`;)
緊急回避 (スコア:0)
「俺様の個人情報がダダ漏れになっている事実を公表し対応を迫らなければ俺様は不安のあまり死んでしまうところだったのだ」
的な事を主張し、裁判官の納得を得られたら、
とりあえずはOKなんじゃないかと...。
俺はその理屈で裁判官を説得する自信はありませんが、
Re:アプリケーションレベルで暗号化 (スコア:1)
じゃあどうすりゃ良いのこれ?
放置?(笑)
# とりあえずラジオライフに任せてみる? (笑)
(´д`;)
Re:アプリケーションレベルで暗号化 (スコア:0)
Re:アプリケーションレベルで暗号化 (スコア:1, すばらしい洞察)
そういう "マトモ" じゃないメディアが存在し得るゆえんですよ。
Re:アプリケーションレベルで暗号化 (スコア:0)
法に引っかからないから取り上げるのがまともなのか。
なんて議論の前に問題意識を持っていろんなところで
取り上げてもらう事を考えないと・・・
マスコミに知らせるとすると、こんなところですかね。 (スコア:1)
# エニックスとスクウェアの合併のどこがインターネット事件なのかは気にしないでね。
Re:アプリケーションレベルで暗号化 (スコア:1)
顧客の個人情報だけでなく、売上情報までごっそり抜かれます、
と言えば、競争の激しい業界ですから危機感も出てくるのでは?
Re:アプリケーションレベルで暗号化 (スコア:2, すばらしい洞察)
以下本題。
件のようなPOS端末を使用している百貨店等に対して、元記事にあるような危険性があることを知らせ、顧客情報のみならず、その店の売上情報まで競合店等を含む外部に漏洩する可能性があることを指摘すれば、危機感を感じ、対策を行うのではないでしょうか?
Re:アプリケーションレベルで暗号化 (スコア:1)
トータルでいくらくらいというレベルではなく、何がいくらでいくつというレベルのデータが漏洩するというのは、気にする人・部門はすごく気にすると思うので、いいんじゃないかと思ったのですが。
>----------
>理解出来る人なら、こんな穴をそもそも空けてないでしょう?
>----------
と言われちゃうと、その通りだと思ったりもするので、ため息つくしかないですね。やっぱりラジオライフ?
Re:アプリケーションレベルで暗号化 (スコア:1)
盗聴器と違ってアクセスポイントそれ自体が電波を出すものです。
なので盗聴器をしかけるまでもなく傍受ができます。
Re:アプリケーションレベルで暗号化 (スコア:1)
#やぎさん郵便化しそうだ。なんか見落としてる?
Re:アプリケーションレベルで暗号化 (スコア:1)
Re:アプリケーションレベルで暗号化 (スコア:1)
(´д`;)
Re:アプリケーションレベルで暗号化 (スコア:0)
> #やぎさん郵便化しそうだ。なんか見落としてる?
無線を傍受する行為は必ずしも「盗聴」とは言えず、
無線を傍受出来る受信機を一般的に「盗聴器」とは呼ばないのが、
貴方の見落とした点ではないかと思います。
Re:アプリケーションレベルで暗号化 (スコア:1)
(例えば商売仇が)POSデータをやり取りする無線電波を傍受する機械を密かに店内に設置することで
とか書けばよかったんですね。
#でもそれって私のイメージではやっぱり「盗聴器」だ。むむむ。
盗聴器 (スコア:1)
電波を出す出さないと盗聴器であるかどうかは関係ないと思いますが。
盗聴器は盗み聞き、つまり音声の傍受をする機械のことですが、
電波を傍受する機械も盗聴器と言いたい。
Re:盗聴器 (スコア:1)
Re:盗聴器 (スコア:2)
Re:アプリケーションレベルで暗号化 (スコア:1)
ちなみにデビットカードは (スコア:1, 参考になる)
#元関係者なのでAC
ちなみに、某ETCでは... (スコア:1)
実装コンサルのご下命が某弱小ソフト会社の私共にあり、つぶさに
内容を拝見する機会を得ました。
理論は無論説明不可ですし、おまけに理論を理解してコンサルでき
ても、数学系ヨワヨワの悲しさから数式実装フェーズは別の専門家
へ引き継ぎましたので、その意味(分析時の装置仕様と、設計時の
要求仕様の分離)でもセキュリティは確保しておりますので、皆様
ご安心の程を。
結論を申し上げますと、NECのSX-7クラスのスパコンを256セット
ほど並列稼動させても、(現在のクレカが有効期限切れで陳腐化
するまでに)外側の皮も破れない仕組みになっておりますので
ご安心下さいませ。
(皮が何枚かも言えませんが、これも鬼畜レベルです)
また、今から考えますと、某機構様のプロジェクト立ち上げ時の
メンバーの方に鬼畜レベルの優秀な方がおられたらしく、官僚
機構の組織現状を踏まえつつ、サルでもできる暗号鍵定期更新
運用特化型組織モデルを残しておられますので、書類型組織に
ベストフィットしたトータルソリューションとなっており、更に
二重にも三重にもご安心下さいませ。
(予算面からの、某ETC使い過ぎには、適度にご注意下さいませ)
何れにせよ、組込み系にまでオブジェクト指向と言うよりも、
「コンポーネント指向」and「UML Profile for EDOC」のような
波は確実に押し寄せてきています。
某大手SIerさまへ
ここまで聞いて、まだDOA+RAD(さえ無理か?) or WalterFall
(しかできない?)とか続けます?
某XPerより
情報漏洩 (スコア:2, 興味深い)
まぁ、利便性とのトレードオフなので「しばらく使わない」なんていうのはあまり現実的ではないのでは? …むしろ「のど元過ぎれば…」で、「はっ」と気がついたら致命的な事態… というのに 100 カノッサ でございます。
今回の例を見るまでもなく、今様な社会環境で個人情報が漏洩することを自己防衛するにはおのずと限界が あるわけで、逆に漏洩することを前提とした上での危機管理手順を普段から考えておくことが重要かと。
実際のところ、カード会社もセキュリティ防衛の強化についてはとっくに諦めている節があり(ひとり IC カード 化したってインフラが充分に対応できるまでは、在来カードと同じセキュリティレベルのまま)、いかにして迅速 かつ正確に不正使用を発見できるか? …という方向に注力していたりします。
--- Toshiboumi bugbird Ohta
百貨店だけでなく (スコア:1)
「無線LAN対応POS機器」ってものがどの程度浸透しているのか知らないですけど、「百貨店等」となっているので百貨店には限らないわけですよね。
個人的には家電量販店でどうなっているのかが心配です。
展示PCから覗きたい放題だったらいや~ん。
Re:百貨店だけでなく (スコア:2, 参考になる)
実際、某スーパーの前の茶店で無線LANサービスを利用していたときに
その某スーパーを表していると思しきSSIDをもったアクセスポイントが
見つかりました。しかもWEPは使用していませんでした。
何に使っているのか、通信内容が何かは調べていないのでわかりません。
POS機器はAC電源も必須だし、そうそう動かす物でもなさそうなので有線でもいいんじゃないかと思ったのですが、良く考えると在庫管理のハンディターミナル用に無線LAN使用→ついでにPOSも、なんて安易なコストダウンをしているとイヤですね。
Re:百貨店だけでなく (スコア:3, 興味深い)
> なんて安易なコストダウンをしているとイヤですね。
よく考えなくても、店のレイアウト変更を容易にするためにコードレス化ってのは重要でしょう。AC電源は陳列用の照明なんかと同じななのでどこからでも取れるような設計にしてあるだろうけど、通信用のポートまで同じように配線するのは家主としてもそこまでやってられんでしょう。店のレイアウトは売上にもろに影響するだろうから、その自由度を高めることはとても重要。なので、POS端末-HOST間は無線にしちゃおうってのは、利にかなってる。
Re:百貨店だけでなく (スコア:1)
「安易なコストダウン」をしたためセキュリティが確保されない
のは困ります、ってのが元ネタからの話の流れです。
端末の電源・通信ケーブルの処理(天井からスパイラル上の
ガイドで吊るとか)の苦心を見るとせめて通信だけでも無線に
っていうのも分かりますけどね。
Re:百貨店だけでなく (スコア:1)
Re:百貨店だけでなく (スコア:1)
っとおもったけど、でもそれは無線LANじゃなくて、PHSか(汗)。 いずれにしてもアプリケーションレベルの暗号化はちゃんと していると信じたいですが。。。
use Test::More 'no_plan';
Re:百貨店だけでなく (スコア:1)
秋葉や新宿は結構情報が漏れてるかも知れませんね。
もし秋葉原デパートから漏れていて漫画買ってることがばれたら一大事ですね。(一大事じゃない一大事じゃない)
# あの秋葉の「大人のコンビニ」から漏れてたらと思うと夜も眠れません。(行ってない行ってない)
ところでデビットカードは大丈夫なのかな?
(´д`;)
郵便局でも (スコア:1)
Re:郵便局でも (スコア:2, すばらしい洞察)
無線のような誰でも見れる媒体で、データを秘匿性無しに送信されているのが問題じゃないかな。
だから、郵便振替用の端末でそれがメルコのカードを使っていても問題ない。
...もちろん、その通信媒体で平文(または平文と同等程度のセキュリティしか持たない暗号)が流れていなければ、だけど。
Re:郵便局でも (スコア:1)
客のほうに向いているので、盗む奴対策なのか、金属棒のガードがついているって…。
実例発見!!! (スコア:1, 参考になる)
大手家電小売チェーンの http://www.net-security.org/news.php?id=388 米ベスト・バイ社では、顧客のクレジットカード番号が漏れたため、ワイヤレスLANのレジの使用停止を余儀なくされた。
という記事 [net-security.org]を発見
Re:実例発見!!! (スコア:1)
Best BuyはUS最大手なので、結構震撼モノだった。
こんなときこそ、 (スコア:0)
配電盤近辺のみ有線LANで、同一フロア内は電灯線LAN。
Re:こんなときこそ、 (スコア:2, おもしろおかしい)
電灯線LANは文字通りタップし放題という弱点が。
# あんなスピード出るわきゃないのでAC
問題は (スコア:1)
トランザクションデータのやり取りならなんとかいけそうだけど、 価格マスター転送するのには苦労しそう。
んなもん心配してたら (スコア:0)
まじ、カード決裁するときは、気を付けよう。
通常のカード支払では見かけない変な装置に一度入れてないかどうか。
Re:んなもん心配してたら (スコア:1)
通常のカード支払いで見掛けるような装置に入れているんだけどデータが抜かれるというのもあるらしいぞ。
http://www.club-siesta.com/northside/2001/08/27skimming.html [club-siesta.com]
> もっと悪質な加盟店は自分のCAT端末に細工をしておき、
> 買い物の承認を行うと同時に磁気情報を盗み取る。
(´д`;)
Re:んなもん心配してたら (スコア:0)
Re:んなもん心配してたら (スコア:0)
セキュリティーホールは、どこにでもある。
何を今更もっと気を付けろって言いたいの。
壁にミミあり、障子にメアリー