パスワードを忘れた? アカウント作成
4406 story

百貨店で使用されているPOS機器から個人情報漏洩の危険性 75

ストーリー by Oliver
WEPでもまったく足りない 部門より

Wildcat 曰く、 "SNS によると、百貨店等で使用されている無線 LAN 対応 POS機器の設定によって個人情報が漏洩する危険性があるそうです。WEPによる暗号化が行われていないものがあり、尚且つSSIDから場所を推測可能なものもあるそうで、これは危ないですね。クレジットカード情報や購入商品情報が漏れ漏れになる可能性あります。しばらく百貨店でカードは使わない方が良いですね。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by jbeef (1278) on 2002年11月28日 8時23分 (#208253) 日記
    WEPの暗号強度の弱さからすれば、こうした装置では、WEPに頼る前にアプリケーションレベルでの暗号化を施すよう設計するのが正しいでしょう。この件では、
    クレジットカード番号や購入商品情報などの個人情報が平文で通信されている可能性があります。
    ただし、通信の傍受は行っていませんので、個人情報漏洩の事実は確認していません。
    とあり、アプリケーションレベルでの暗号化がされていなかったかどうかは不明とされています。 もし暗号化されていないのならば、まずそこを直すことを検討するのでしょうが、修正のコストが大きい(ハードウェアの作り直しが必要など)といった理由で現実的でなく、せめてWEPの設定を……という話なのかもしれませんね。

    修正されないとなると、これは結構大きな社会的問題だと思いますが、平文で流れている確証が得られなければマスメディアも扱えないでしょうし、事件が起きなければ警察も動けないでしょうね。どうしたら解決の方向に向かうのだろうか……。

    • by Wildcat (2067) on 2002年11月28日 8時50分 (#208261) 日記
      > どうしたら解決の方向に向かうのだろうか……。

      まずは口コミでこの話を広げる。
      あとは誰かが実際に傍受して平文かどうかを確認して発表すれば良いんじゃないかな。(自分で買い物している時に自分で傍受してもよいし、関係者に傍受させても良い)

      もちろん放っておいてもラジオライフやアクションバンドのような雑誌はやってしまうと思う (ああいう雑誌からするとこんなおいしいネタはないよね)。
      --
      (´д`;)
      親コメント
    • > 平文で流れている確証が得られなければ

      多分、不正アクセス防止法や電波法あたりに引っかかりかねないので、マトモ(?)なマスコミでは扱いにくいのではないでしょうか?
      ラジオライフやアクションバンド電波あたりに期待しましょう。
      親コメント
      • by Wildcat (2067) on 2002年11月28日 11時59分 (#208333) 日記
        電波法の場合は確か無線電波の傍受はOKだったと思うよ。
        傍受した内容を他人に漏らすのが駄目なだけで。
        (葉書と同じような扱いということかな)。

        だから後々公表するために実験するとしたら自分で買い物している時に自分の情報が漏れているかを自分で確認するとか、あるいは協力者に買い物させてその時に漏れているかを確認するという方法しかないと思う。
        --
        (´д`;)
        親コメント
        • > 電波法の場合は確か無線電波の傍受はOKだったと思うよ。
          > 傍受した内容を他人に漏らすのが駄目なだけで。

          その通り。だから、傍受した内容が暗号化されているとかされていないとか、そういう事には言及しにくいわけでしょう。
          親コメント
        • そこを気にするのであれば、
          通信の内容が自分に関わることであったとしても、
          あくまでも自分は通信の当事者じゃないので、
          やっぱり傍受したことを他人に洩らしてはダメな様な気がします。

          #厳密な法解釈はわすれたので無線従事者だけどAC
          • by wanabee (2827) on 2002年11月28日 15時55分 (#208423) 日記
            電波法より:
            第五十九条  何人も法律に別段の定めがある場合を除くほか、特定の相手方に対して行われる無線通信(電気通信事業法第四条第一項 又は第九十条第二項 の通信たるものを除く。第百九条において同じ。)を傍受してその存在若しくは内容を漏らし、又はこれを窃用してはならない。
            ということで、無線だから偶然傍受してしまうのは仕方ないけどだからといってそれを公表したり悪用したりしてはいけないよ、ということだったと思います。
            だから報告でも「ただし、通信の傍受は行っていませんので、個人情報漏洩の事実は確認していません」と断り書きがついているわけで。

            総合通信局の人に聞いた話なのでそれほど外してはいないと思いますが詳しい方の突っ込み歓迎。
            --
            今年の目標考え中
            親コメント
            • 特定の相手方に対して行われる無線通信であることは、自明なんだろうか?通信設備(ま、アクセスポイントね)の管理をしている人間が、通信相手をもっと絞ることが可能であるにもかかわらず、誰にでも受信可能な状態にして公衆に対して電波を発射しているのだから、「放送」なのでは?

              # 放送法の「放送」とは違うケド

              確かめてみたいし、公表してみたいけど、従免を持っていて、1年以下の懲役または50万円以下の罰金が2倍になってしまうからパス
              --
              Copyright (c) 2001-2014 Parsley, All rights reserved.
              親コメント
          • by Anonymous Coward
            と言う概念があるわけで、
            「俺様の個人情報がダダ漏れになっている事実を公表し対応を迫らなければ俺様は不安のあまり死んでしまうところだったのだ」
            的な事を主張し、裁判官の納得を得られたら、
            とりあえずはOKなんじゃないかと...。

            俺はその理屈で裁判官を説得する自信はありませんが、
      • 多分、不正アクセス防止法や電波法あたりに引っかかりかねないので、マトモ(?)なマスコミでは扱いにくいのではないでしょうか? ラジオライフやアクションバンド電波あたりに期待しましょう。
        そういう "マトモ" じゃないメディアの成果をアテにしないと何もできない、ということですね。
      • 法に引っかからないから取り上げないのがまともなのか、
        法に引っかからないから取り上げるのがまともなのか。

        なんて議論の前に問題意識を持っていろんなところで
        取り上げてもらう事を考えないと・・・
    • Mainichi INTERACTIVE" [mainichi.co.jp]では、
      読者の皆様が見聞きしたインターネット上で起きている事件やアクシデントやこの特集についてのご意見をお寄せ下さい。
      送り先は:jiken@mainichi.co.jp
      ってことになってる。

      # エニックスとスクウェアの合併のどこがインターネット事件なのかは気にしないでね。
      親コメント
    • これ用の盗聴器をしかけられれば、
      顧客の個人情報だけでなく、売上情報までごっそり抜かれます、
      と言えば、競争の激しい業界ですから危機感も出てくるのでは?
      親コメント
    • ネタ元ページより。
      しかし、調査した百貨店で使用されていた無線 LAN 対応 POS メーカに 、WEP 機能設定が可能か問い合わせを行いましたが、1 ヶ月以上経過して 現在も回答が得られませんでした。
      アプリケーションレベルの設定が使用可能かどうか、 実際に使っているかを、 メーカーや百貨店にみんなで問い合わせれば、 さすがに放置できなくなって回答してくれたりとかないかなぁ? 口コミやWebページ(や雑誌の連載とか)に「あそこのは危ないかも」とか 広めちゃうよ?などと脅し文句を入れておくと効果的?
      親コメント
    • by Anonymous Coward on 2002年11月28日 23時38分 (#208786)
      仕様により、POSから送信するときに磁気ストライプデータを暗号化しなければなりません。

      #元関係者なのでAC
      親コメント
    • 某機構より守秘限定開示の暗号仕様書に基づき、某大手SIer様から
      実装コンサルのご下命が某弱小ソフト会社の私共にあり、つぶさに
      内容を拝見する機会を得ました。

      理論は無論説明不可ですし、おまけに理論を理解してコンサルでき
      ても、数学系ヨワヨワの悲しさから数式実装フェーズは別の専門家
      へ引き継ぎましたので、その意味(分析時の装置仕様と、設計時の
      要求仕様の分離)でもセキュリティは確保しておりますので、皆様
      ご安心の程を。

      結論を申し上げますと、NECのSX-7クラスのスパコンを256セット
      ほど並列稼動させても、(現在のクレカが有効期限切れで陳腐化
      するまでに)外側の皮も破れない仕組みになっておりますので
      ご安心下さいませ。
      (皮が何枚かも言えませんが、これも鬼畜レベルです)

      また、今から考えますと、某機構様のプロジェクト立ち上げ時の
      メンバーの方に鬼畜レベルの優秀な方がおられたらしく、官僚
      機構の組織現状を踏まえつつ、サルでもできる暗号鍵定期更新
      運用特化型組織モデルを残しておられますので、書類型組織に
      ベストフィットしたトータルソリューションとなっており、更に
      二重にも三重にもご安心下さいませ。
      (予算面からの、某ETC使い過ぎには、適度にご注意下さいませ)

      何れにせよ、組込み系にまでオブジェクト指向と言うよりも、
      「コンポーネント指向」and「UML Profile for EDOC」のような
      波は確実に押し寄せてきています。

      某大手SIerさまへ
      ここまで聞いて、まだDOA+RAD(さえ無理か?) or WalterFall
      (しかできない?)とか続けます?
                                 某XPerより
      親コメント
  • 情報漏洩 (スコア:2, 興味深い)

    by bugbird (4706) on 2002年11月28日 14時10分 (#208384) ホームページ 日記

    まぁ、利便性とのトレードオフなので「しばらく使わない」なんていうのはあまり現実的ではないのでは? …むしろ「のど元過ぎれば…」で、「はっ」と気がついたら致命的な事態… というのに 100 カノッサ でございます。

    今回の例を見るまでもなく、今様な社会環境で個人情報が漏洩することを自己防衛するにはおのずと限界が あるわけで、逆に漏洩することを前提とした上での危機管理手順を普段から考えておくことが重要かと。

    実際のところ、カード会社もセキュリティ防衛の強化についてはとっくに諦めている節があり(ひとり IC カード 化したってインフラが充分に対応できるまでは、在来カードと同じセキュリティレベルのまま)、いかにして迅速 かつ正確に不正使用を発見できるか? …という方向に注力していたりします。

    --
    --- Toshiboumi bugbird Ohta
  • by Mr. Hankey (5779) on 2002年11月28日 10時00分 (#208287)
    > しばらく百貨店でカードは使わない方が良いですね。

    「無線LAN対応POS機器」ってものがどの程度浸透しているのか知らないですけど、「百貨店等」となっているので百貨店には限らないわけですよね。
    個人的には家電量販店でどうなっているのかが心配です。
    展示PCから覗きたい放題だったらいや~ん。
    • by Abendrot (8840) on 2002年11月28日 11時03分 (#208310) 日記
      >、「百貨店等」となっているので百貨店には限らないわけですよね。

      実際、某スーパーの前の茶店で無線LANサービスを利用していたときに
      その某スーパーを表していると思しきSSIDをもったアクセスポイントが
      見つかりました。しかもWEPは使用していませんでした。
      何に使っているのか、通信内容が何かは調べていないのでわかりません。
      POS機器はAC電源も必須だし、そうそう動かす物でもなさそうなので有線でもいいんじゃないかと思ったのですが、良く考えると在庫管理のハンディターミナル用に無線LAN使用→ついでにPOSも、なんて安易なコストダウンをしているとイヤですね。
      親コメント
      • by rohi (5663) on 2002年11月28日 12時36分 (#208347)
        > 良く考えると在庫管理のハンディターミナル用に無線LAN使用→ついでにPOSも、
        > なんて安易なコストダウンをしているとイヤですね。

        よく考えなくても、店のレイアウト変更を容易にするためにコードレス化ってのは重要でしょう。AC電源は陳列用の照明なんかと同じななのでどこからでも取れるような設計にしてあるだろうけど、通信用のポートまで同じように配線するのは家主としてもそこまでやってられんでしょう。店のレイアウトは売上にもろに影響するだろうから、その自由度を高めることはとても重要。なので、POS端末-HOST間は無線にしちゃおうってのは、利にかなってる。
        親コメント
        • by Abendrot (8840) on 2002年11月29日 14時58分 (#209125) 日記
          まあ、理に適っていることは確かですが、そこだけにとびついて
          「安易なコストダウン」をしたためセキュリティが確保されない
          のは困ります、ってのが元ネタからの話の流れです。

          端末の電源・通信ケーブルの処理(天井からスパイラル上の
          ガイドで吊るとか)の苦心を見るとせめて通信だけでも無線に
          っていうのも分かりますけどね。
          親コメント
    • カードで代引きできる運送屋さんもありますよね。 っていうか、つい最近つかいました。

      っとおもったけど、でもそれは無線LANじゃなくて、PHSか(汗)。 いずれにしてもアプリケーションレベルの暗号化はちゃんと していると信じたいですが。。。

      --
      use Test::More 'no_plan';
      親コメント
    • by Wildcat (2067) on 2002年11月28日 10時32分 (#208301) 日記
      そういやそうですね。「等」が入ってましたね。
      秋葉や新宿は結構情報が漏れてるかも知れませんね。
      もし秋葉原デパートから漏れていて漫画買ってることがばれたら一大事ですね。(一大事じゃない一大事じゃない)

      # あの秋葉の「大人のコンビニ」から漏れてたらと思うと夜も眠れません。(行ってない行ってない)

      ところでデビットカードは大丈夫なのかな?
      --
      (´д`;)
      親コメント
  • by yukioka (8890) on 2002年11月28日 14時26分 (#208391)
    郵便振替用の専用端末だと思うんですが、メルコのWLI-PCM-L11Gがささってました。 無線がこうも普及してくると、何もできなくなりますね。
    • Re:郵便局でも (スコア:2, すばらしい洞察)

      by wabix (3594) on 2002年11月28日 15時12分 (#208406) ホームページ
      郵便振替用の専用端末だと思うんですが、メルコのWLI-PCM-L11Gがささってました。無線がこうも普及してくると、何もできなくなりますね。
      無線が危険なのではなくて、
      無線のような誰でも見れる媒体で、データを秘匿性無しに送信されているのが問題じゃないかな。

      だから、郵便振替用の端末でそれがメルコのカードを使っていても問題ない。
      ...もちろん、その通信媒体で平文(または平文と同等程度のセキュリティしか持たない暗号)が流れていなければ、だけど。
      親コメント
    • by u1p (2709) on 2002年11月28日 16時43分 (#208465) 日記
      オフトピですが、計量→領収書発行の郵便窓口の秤兼用の機械にもささってますね。
      客のほうに向いているので、盗む奴対策なのか、金属棒のガードがついているって…。
      親コメント
  • 実例発見!!! (スコア:1, 参考になる)

    by Anonymous Coward on 2002年11月28日 21時41分 (#208701)
    Hotwiredの記事 [yahoo.co.jp]を読んでいたら今年5月、

    大手家電小売チェーンの http://www.net-security.org/news.php?id=388 米ベスト・バイ社では、顧客のクレジットカード番号が漏れたため、ワイヤレスLANのレジの使用停止を余儀なくされた。

    という記事 [net-security.org]を発見
  • by Anonymous Coward on 2002年11月28日 12時55分 (#208354)
    電灯線LAN [echonet.gr.jp]の出番だと思うのですが。
    配電盤近辺のみ有線LANで、同一フロア内は電灯線LAN。
    • Re:こんなときこそ、 (スコア:2, おもしろおかしい)

      by Anonymous Coward on 2002年11月28日 13時14分 (#208364)

      電灯線LANは文字通りタップし放題という弱点が。

      # あんなスピード出るわきゃないのでAC

      親コメント
    • by ncube2 (2864) on 2002年11月28日 19時12分 (#208584)
      国内では法規制があって、エコーネットの通信速度は9600bps程度しか出ないことじゃな。
      トランザクションデータのやり取りならなんとかいけそうだけど、 価格マスター転送するのには苦労しそう。
      親コメント
  • by Anonymous Coward on 2002年11月28日 13時18分 (#208365)
    そこの店員が一番のセキュリティーホールだって。
    まじ、カード決裁するときは、気を付けよう。
    通常のカード支払では見かけない変な装置に一度入れてないかどうか。
typodupeerror

Stay hungry, Stay foolish. -- Steven Paul Jobs

読み込み中...