先月,西武百貨店の抱えていた無線POSシステムの脆弱性について報告した(この事件の詳細は2003年2月21日に発売した『日経ネットワークセキュリティ~無線LANパニック~』に掲載)。

 これに続き,高島屋もほぼ同様の問題を抱えていたことが明らかになった。これは弊誌が2003年2月,高島屋の新宿店で発見した。

 西武百貨店と同様,無線POS端末とサーバー間で,暗号化していない平文のデータをやり取りしていた。XML(eXtensible Markup Language)で記述した平文データの中に,クレジットカード情報や購入商品の情報,購入金額などが含まれていた。つまり,無線LANカードを挿したノートパソコンとデータをキャプチャするソフトさえあれば,特別な盗聴器を使うことなく,POS端末とサーバー間を流れる顧客のプライバシ情報を収集できる状態だったのだ。

 弊誌は2003年2月21日,高島屋に対してこの事実を知らせ,早急な対策,および顧客への告知とアフターケアをすることを促した。

 弊誌の連絡を受けてからの高島屋の対応は速かった。同社は2003年2月27日,全店舗においてデータ暗号化の対策を完了。その後,2003年3月13日から写真のようなお知らせを全店舗で掲示し,顧客に対して無線POSシステムでやり取りするデータが傍受される危険性のあったことを告知した(このお知らせは3月13日から1週間掲示)。顧客からの問い合わせなどは,高島屋の各店舗の総務部で受け付けている。

(藤田 憲治=日経バイト)