セキュリティ・ベンダーであるラックは11月27日,百貨店などで使用されている無線LAN対応POS機器から,買い物客の個人情報(クレジット・カード情報や購入商品情報)が漏えいする危険性があることを警告した。
同社の調査によると,ある百貨店では無線LAN対応POS機器用のアクセス・ポイントを多数導入しているにもかかわらず,WEP[用語解説]による暗号化を施していない。つまり,POS機器からアクセス・ポイントまでは,クレジット・カード情報などが平文で送られている可能性がある。ただし,通信の傍受は行っていないので,実際に平文で送られているかどうか——つまり,盗聴可能かどうか——は確認していないという。
加えて,使用場所を推測できるSSID[用語解説]を設定しているアクセス・ポイントを確認できたという。
対策はWEPなどによる暗号化を施すこと。ただし,調査した百貨店で使用されていたPOS機器でWEPが使用可能かどうかをメーカーに問い合わせたところ,1カ月以上経っても連絡がないという。
なお,影響の大きさを考えて,同社ではPOS機器のメーカー名や百貨店名は公開していない。
(勝村 幸博=IT Pro)
◎参考文献
◆SNS Spiffy Reviews No.4「個人情報漏洩の可能性のある脆弱性—百貨店で使用されている POS 機器の例」