高島屋の平文無線POSは1週間で対処、そして顧客へ告知 44
ストーリー by Oliver
他人の失敗からも学ぶ 部門より
他人の失敗からも学ぶ 部門より
jbeef曰く、"日経バイトの記事によると、
先月話題になった「西武百貨店の危ない無線POS,クレジットカード情報が見えた」と同様の問題が高島屋にもあったという。
クレジットカード情報、購入商品の情報、購入金額などを含むXMLデータが平文のまま電波に載せられていたそうだ。同誌が2月21日に高島屋に事実を知らせたところ、2月27日に全店舗で暗号化の対策が完了されたという。
スラッシュドットの西武百貨店の件のストーリーでは、対策にかかる時間について議論があっただけに興味深い。ただ、今回は前例があるだけに早く対策できたのかもしれない。指摘を受ける前に高島屋が問題を知っていたかどうかについてはこの記事からは読み取れない。
また、3月13日から「お知らせ」を全店舗で掲示しているといい、その写真が同記事に掲載されている。この「お知らせ」を目にした非アレゲな一般消費者たちは、はたしてどんな印象を持つのだろうか。"
傍受/盗聴 (スコア:3, すばらしい洞察)
都合の悪い事は全て「なんだかハッカーとか言うのが知識悪用して云々」と言う事にしてしまおうという姿勢が度々見受けられる中で、自らの非をきちんと認めているように感じられました。
もちろん、正確な言葉を使用しているに過ぎないのですが(^^;
# 深読みしすぎ?
顧客第一なら・・・ (スコア:2, 興味深い)
思えてしまうのは,西武の対応の拙さゆえなのだろうなぁ(^_^;
で,結局のトコ西武百貨店の方は対応済んでるの?
#なんにせよクレジットカード持ってないので ID。
Re:顧客第一なら・・・ (スコア:2, すばらしい洞察)
当然のことが出来ていない企業や人が多い中、こういったことを愚直に示すのも価値。
ばれるかどうかはともかく、対策だけとって黙っているという選択肢もあった中、周知するというのは良い事。
ソフトウェアでもシステムでも同じだと思うが、セキュリティ上の欠陥を指摘されても早急にそれに対応し、
適切にアナウンスすれば信頼が高まるし、あの企業は「聞く耳を持っている」と思わせるのは大事。
Re:顧客第一なら・・・ (スコア:2, 参考になる)
西武と同じベンダ(NCR)のPOSを使っていて、あれだけ西武が(業界内で)騒がれていたにも関わらず、西武より対策が1ヵ月以上遅れてるんですよ。
当然の対応というのなら、西武と同時期あるいはちょっと遅れたぐらいのタイミングで、日経なんかに指摘される前に対応するのが当然の対応でしょう。
問題は日経に指摘されて初めて発生したのではなく、POS導入時から存在していたのですから。
仮に日経に指摘されるまで知らなかったとしたら、NCRが他店で問題になっている事を顧客に知らせなかった and 高島屋の担当者は業界内の情報すら収集していなかったという事ですから、より問題は大きいですね。
日経の論調に騙されちゃいけません。
Re:顧客第一なら・・・ (スコア:0)
商売をする者としてうまく振る舞ったことには変わりない。
西武百の場合はそれすらできなかったわけで、、。
Re:顧客第一なら・・・ (スコア:1)
現状ではアナウンスの必要を感じていないだけなのかなぁ。
KyaTanaka
Re:顧客第一なら・・・ (スコア:1)
おっしゃる通り、あまり「広報」の地味な部分を有効活用する店は出てきませんね。
「住民基本台帳ネット」などで、個人情報の扱いについて議論されている割には、
身近な部分でおざなりと言うか、無関心というか...。
この辺にアンテナの高い経営者は少ないのかな?
----------------------
情報の解釈は想像力次第
情報の真偽は説得力次第
Re:顧客第一なら・・・ (スコア:1, すばらしい洞察)
妄想 (スコア:1, 興味深い)
# 何にせよ仕様書で誰も突っ込まなかったのだろうか。
Re:妄想 (スコア:3, 興味深い)
ちなみに、前の西武百貨店のはこちら [ncr.co.jp]
(ページ内検索で「西武百貨店」とすると見事にヒットする。)
高島屋はGoogleのキャッシュ [google.co.jp]に残っていたけど、MSのページに導入事例として載ってた模様。作ったのは西武と同じNCRらしい。
妄想ではなくなりそうな感じですねぇ。
----------------------------------------
You can't always get what you want...
それでSIerいじっても何も出ないでしょ(was Re:妄想 (スコア:1)
全部洗い出してなにやらかにやらで。
終わったあとで西武が口をぬぐっちゃったのが失策だったわけで、
それはSIerが矯正できるものでもなさそうな。
Re:それでSIerいじっても何も出ないでしょ(was Re:妄 (スコア:0)
かどうかは知りませんが、同じ部隊がやった仕事で西武の蓄積が高島屋の早期対応を実現した事情があったとすると、それを取り上げずに西武と高島屋の対応の違いで語られるのは間違いでは。
妄想してみたのは其の辺りによります。
Re:それでSIerいじっても何も出ないでしょ(was Re:妄 (スコア:1)
Re:それでSIerいじっても何も出ないでしょ(was Re:妄 (スコア:1)
すまぬ、「同じ轍を」だ。情けねぇ。
Re:妄想 (スコア:1)
1996年に伊勢丹府中店にはもう入れていたんですね。…伊勢丹もかー
監督官庁はどこ? (スコア:1, 興味深い)
歌舞伎町のビル火災の後は、消防庁がビルの再点検をさせたし、
韓国で地下鉄火災があれば、国土交通省が調査をさせたわけだが、
百貨店その他の一斉調査とかしないのかねえ。
法的根拠がないからできないのかなあ。
個人情報保護法が施行されると取り締まれるのかなあ。
日本百貨店協会 [depart.or.jp] とかは調査しないのかね。
Re:監督官庁はどこ? (スコア:1, おもしろおかしい)
Re:監督官庁はどこ? (スコア:0)
Re:監督官庁はどこ? (スコア:0)
一応そうなってますね。おそらく、こんな状況下においても
「何もしない」というのが定番の対応でしょう。
日本百貨店協会も大々的に報道されない限り動くとは思えません。
基本的に「横並び」意識強いですから。
Re:監督官庁はどこ? (スコア:0)
オオゴトにならないと動かないのは国会も一般マスコミも同じなので、
行政は大事になるのを待っているのかも。
法的根拠がないと企業に報告させることさえ強要できないしね。
Re:監督官庁はどこ? (スコア:1)
#蛙をぬるま湯に入れてだんだん暖めると、気付かずにゆで上がってしまうって話、本当?
Re:監督官庁はどこ? (スコア:0)
新聞テレビでの報道を見る限り大事になっているとはおもえん。
事態の深刻さがわかってないのでしょう。
国会で質問でも出てニュースになれば話が進むと思うが、現状で行政
が監督指導を強化しようとしても、反対の声が多いと思うな。
最近は規制強化に過敏に反応する人多いし。
2/21 - 2/27 の間 (スコア:1)
今まで通り垂れ流しだったんでしょうかね?
Re:2/21 - 2/27 の間 (スコア:0)
> 今まで通り垂れ流しだったんでしょうかね?
そりゃぁ、垂れ流しだったんじゃないのかなぁ。
それなりの規模の組織ならば、その通報の内容を理解する
(理解できる部
電波法違反? (スコア:1, 興味深い)
(秘密の保護)
第五十九条 何人も法律に別段の定めがある場合を除くほか、
特定の相手方に対して行われる無線通信(電気通信事業法
第四条第一項又は第九十条第二項 の通信たるものを除く。
第百九条において同じ。)を傍受してその存在若しくは
内容を漏らし、又はこれを窃用してはならない。
-------------------------
無線通信を勝手に傍受しちゃまずいんじゃ??
店側に事前に許可貰ってからやったのかな??
それともこういう例には当てはまらないのかな??
Re:電波法違反? (スコア:2, 参考になる)
聞いた内容を第三者に話してはいけないだけ。
コンサート会場の外でマイク音声を拾ってても違法じゃ
ないんですから。
Re:電波法違反? (スコア:2, 興味深い)
とりあえず、こっちにつなげます。
この法律だけ見て思ったんですけど
雑誌で読者(第三者)に無線通信の存在を知らせるのはOKなんですかね??
なんかグレーな気がするんですが・・・。
-------------------------- 探し物は見つかりましたか? sk1y2k
Re:電波法違反? (スコア:1)
それがNGなら、このコメント [srad.jp]で紹介されているところが最初(かどうかはわからないけれどかなり初期)に法を犯したことになりそうですね。
Re:電波法違反? (スコア:1)
明らかにするのは内容を話した事になるの?
XMLの中身を話した訳ではないから、OKな気もしないでもない。結構グレーな気が個人的にはする。
/* Kachou Utumi
I'm Not Rich... */
Re:電波法違反? (スコア:1)
語ることができないのですから、この文脈での"内容"を話したことになると考えていいです。
なにせ、電波法は「その存在を漏らす」ことも禁止していますから。
無線LANの脆弱性を設置者に警告するのは、それ自体が電波法違反の可能性があるのですよ、一応。
#でも、それをやったほうが良いという共通認識があると思われているから
#警告する人も出てきてくれていたわけで。
#そういや、こんな話が"CODE"に出てきたような。
Re:電波法違反? (スコア:0)
Re:電波法違反? (スコア:1)
#茶々入れモード御免
Re:電波法違反? (スコア:0)
> そんな情報、当事者を脅迫するのに使ったら立派な「窃用」と
それ以前に脅迫自体が犯罪行為だYO!
Re:電波法違反? (スコア:1)
それに、漏らす相手を第三者に限るように解釈する意義は乏しそうだ、と申し上げたかったので、それが伝わればいいです。
Re:電波法違反? (スコア:1, 参考になる)
ということで、無線通信を聞くこと自体は違法ではないはずです。
(電波法を勉強したのが昔なので、勘違いとか法改正があったりしそうで恐いですが)
島屋/高島屋 (スコア:1)
ハシゴ高は環境異存文字(おふとぴ -1) (スコア:1)
高島屋のサイトが「タカシマヤ」「Takashimaya」表記をメインとし会社概要のページでハシゴ高を使った正式表記をGIF画像にしているのもそのためでしょう。
まさかWEPを設定しただけ? (スコア:0)
Re:まさかWEPを設定しただけ? (スコア:0)
と、今頃思ってなければいいが
あながち、ありえなくは無いけど、あれだけ時間もかけてた事を考えれば、それはないかと。
でも、単純に前のデータをXORやNOTしただけだったりって…(をぃ)
Re:まさかWEPを設定しただけ? (スコア:0)
Re:まさかWEPを設定しただけ? (スコア:0)
指摘された時点で既に準備中だった可能性はある。
Re:まさかWEPを設定しただけ? (スコア:2, すばらしい洞察)
「ああ、俺も一昨昨日気が付いてさ。変えたいんだけど全部一挙にやらんと遺憾から、今作業手順書いてるとこ」
「悠長な事を....で、予算どうすんの?人動かすんでしょ?」
「そこが考えどころなんだよなあ。まあともかく、出来る事からやっておくさ」
....
「平分で流れてた件、指摘が来ました!」
「げ、先手取られたか」
「部長カンカンだったぞ、今すぐ対処しろって」
「....って、言ったのか?」
「ああ、一週間以内に何とかしろと怒鳴ってたよ。そりゃあもう凄い剣幕で」
「....稟議取って来る。全事業所にこのマニュアルを配る準備してくれ。渡りに船だと思おう」
# なんてね
Re:まさかWEPを設定しただけ? (スコア:1)
担当「こんなんでどうでしょう」
部長「う~ん、分かりづらいな、ここ、こうにしてくれ」
担当「はい」・・・・「これでは」
部長「ここはこう言ったほうがいいんだよな」
担当「はぁ」・・・・(今度こそ・・心の声)
部長「いや、これじゃないんだよ」
・・・・・
客先報告前夜のデスマーチの予感。
Re:まさかWEPを設定しただけ? (スコア:0)
ということは高島屋の場合、西武百貨店の対応完了期間+一ヶ月だと思います。
NCRのWWWで紹介されている導入顧客のところは、一通り誰かがチェックしてる
可能性が高いですよね。
それに、日経バイトの記者