無線LANの危険性は,これまで幾度となく雑誌や新聞で騒がれてきた。この危険性を象徴するような事件が明らかになった。西武百貨店の無線POSシステムにおいて,クレジットカード情報などが暗号化されないまま平文で流れていたことが判明したのだ。
「西武百貨店の無線POSシステムで,平文のままの情報が流れている。データをキャプチャすれば,顧客のクレジットカード情報などを入手できる」。このショッキングな情報を入手したのは昨年の9月下旬である。
この件を西武百貨店に問い合わせたところ,同社は無線POS端末とアクセスポイント間で一部のデータを暗号化していなかった事実を認めた。つまり,無線LANカードを挿したノートパソコンとデータをキャプチャするソフトさえあれば,特別な盗聴器を使ったり,取り付けることなく,無線POS端末とサーバー間の情報を収集できる状態だったのだ。
西武百貨店によると,無線POSの暗号化対策は今年の1月末に完了したと言う。また,この事態に対して,同社の阿部武広報室長は「セキュリティを軽視していたわけではない」と言う。「顧客の個人情報保護を最優先に,セキュリティ対策に取り組んできた。2年に1回はセキュリティの監査を受け,サーバーに保管している顧客情報やその他の重要情報が危険な状態にさらされる恐れがないかもチェックしている。無線POS端末とアクセスポイント間でも,アプリケーション・レベルで暗号化してやり取りしているデータもあった。指摘を受けた点は以前から課題として認識し,計画的にその改善に取り組んできた。それが2003年1月末の改善である」。
対策は終わったものの,「無線LANを使って平文のまま顧客情報を送受信していたなら,実際に被害が起こったかどうかにかかわらず,対策完了後にその事実を顧客に伝え,顧客のアフターケアをすべき」という意見は受け入れてもらえなかった。西武百貨店は,今回の事態を重大な問題だと認識してはいるが,実際に被害が起こったかどうかが明らかになっていないことに対しての戸惑いがある。
セキュリティ対策に完璧はない。だからこそ,トラブルが起こったときの対応が重要である。暗号化したことにより,西武百貨店のシステムはセキュアになるだろう。今後の信頼を得るべく前向きに取り組むべきだと考える。
また,今回のような状況は西武百貨店に限ったことではない。無線LANのセキュリティを重視していない企業は,ほかにもたくさんあるはずだ。業種を問わず,別の企業でも同じようなことが起こっている可能性は否定できない。
