西武百貨店の無線POS事件，問題の本質を考える

藤田憲治

2003.02.25

　西武百貨店の無線POSシステムが，脆弱な状態のまま運用されていた事実が明らかになった。この詳細は，セキュリティ専門ムック『日経ネットワークセキュリティ～無線LANパニック～』，および日経バイト2003年3月号に掲載した。事件のあらましについては，IT Proや日経バイトのホームページでも報じている（記事へ）。

　事件の概要については，前述のメディアを参照してほしい。以下では，今回の報道で伝えきれなかった“問題の本質”について，筆者の見解を述べたいと思う。

危ないのはクレジット・カードだけではない

　今回の記事は，クレジット・カード情報が見えたことを中心にまとめた。これは「クレジット・カード情報が見える」という事実が，最も理解しやすいセキュリティ上の危険だと判断したためである。多くの人が危険だと感じる材料を提示することで，問題の大きさを伝え，無線LANを導入している企業の意識改革を促すことを狙った。

　もちろん，クレジット・カード情報は顧客の大切なプライバシ情報の一つである。しかし，プライバシの問題を引き起こすのはクレジット・カード情報だけではない。今回の例で言えば，顧客が何を購入したのか，いくらの商品をいつ購入したのかなどの情報もプライバシの問題にかかわる。

　例えば，クレジット・カード情報が流れていなくても，人に知られたくない薬や趣味の商品を購入した記録が第三者に容易に収集されるようなシステムもダメだ。西武百貨店の場合，購入商品の種類や金額も平文のまま流れていた。記事ではクレジット・カード情報に焦点を当てたが，問題はクレジット・カード情報だけでないことを理解してほしい。

実世界と何が違うのか

　クレジット・カードの場合，現実社会ではいいかげんに取り扱っている人もいる。例えば，クレジット・カードの控えを，何の配慮もなくゴミ箱に捨てるなどの行為だ。このため，無線LANのデータをキャプチャするなどの手間をかけなくても，ゴミ箱を漁るだけでクレジット・カード情報の一部を収集できる可能性はある。

　しかし，このことと今回の事件を同じように考えないでほしい。顧客自身がクレジット・カード情報をいいかげんに扱って被害が起こった場合，これはクレジット・カード所有者の自業自得と言える。しかし，無線LANから情報が漏れた場合は，自業自得ではない。所有者の知らぬ間に，情報が第三者に漏れることが大きな問題なのである。

盗聴以外の危険性

　今回の事件の場合，怖いのは盗聴だけではなかった。平文の無線データの中には，システムで利用している機器の名称やソフトウェアのバージョン番号なども含まれていた。このため，これらの情報を基にバックエンドのサーバー群を不正アクセスされる可能性もあったのだ。

　サーバー群を不正アクセスされた場合，わざわざ無線データをキャプチャしなくても，大量の顧客情報を一気に入手することができる。情報を奪われなくても，嫌がらせ目的でW32/SQL Slammerのようなウイルスを放たれる危険性もあった。

　西武百貨店の場合，2年ごとにセキュリティ監査を受け，サーバー側のセキュリティ対策は十分に施していたと言う。このため，実際にはサーバーを不正アクセスされる危険性は低かったと推測できる。しかし，少なくとも無線データを見た悪意の第三者の“やる気”を起こさせてしまう恐れはあったと言えよう。

どこでボタンを掛け間違えたのか

　今回の事件の場合，問題なのは「重要な情報を平文のまま無線で流した」という事実である。無線データに紐は付けれない。電波の届く範囲なら，誰もがそのデータを入手できる。まさしく「社屋から道路に向かって拡声器で個人情報をタレ流しているようなもの」（ネットワーク・セキュリティに詳しい岡村久道弁護士）という言葉通りの状況だった。

　では，何故このようなシステムを構築するに至ったのか。直接的には，「セキュリティ意識の低さ」が原因である。しかし，この一言では片付けられない。別の百貨店の情報システム部長から聞いた次のような事情もあるだろう。

　「数年前まで簡易無線POS端末は，暗号化する機構を備えていなかった。しかし，無線LANに対するセキュリティ意識も今ほど高くなく，利便性を追及していたため，暗号化の有無に関係なく導入したのだろう。その後，無線LANのセキュリティが騒がれ出したが，暗号化機構を導入しようとしても，無線POS端末を入れ替えるのに数億円オーダーのコストがかかる。このため，長期的な計画の中でしか，対応は難しかったのではないだろうか」

　すべての無線POS端末が本当に暗号化機構を備えていなかったのかなど，上記の意見の信憑性は現在調査中である。ただ，上記のような意見は複数の百貨店のシステム部長から聞いた。今後も無線POSの調査は続けていきたいと考えている。その中で，無線POS端末の機能やシステム構築側の状況も報じていければと思う。

対策や回避策のない脆弱性は報道しない

　この事件をIT Proで報道した際，「問題なのは昨年9月に知ったマスメディアが報道しなかったこと」というご意見をいただいた（記事へ）。最後に，これに対する考え方を記しておきたい。

　今回のようなセキュリティ記事の場合，筆者は「対策が終わってから報道する」ことを基本としている。少なくとも，対策方法や回避方法がない状態の危険性は報道しない。脆弱な状態のまま報道して，二次的な被害が起こることを懸念しているためだ。

　記事にも書いたが，今回の問題は西武百貨店に限ったことではない。業種を問わず，無線LANを導入している企業や組織が引き起こす可能性がある。今後も，同じような事件に遭遇した場合，対策や回避策の存在が確認できた後で報道するという基本方針のまま臨んでいく所存である。この考えに対して賛否両論あると思うが，ご理解いただきたい。