詳報　危ない百貨店の無線POS

藤田憲治

2003.04.04

　本誌先月号（2003年3月号）において，西武百貨店の抱えていた無線POSシステムの脆弱性について報告した（この事件の概要はhttp://itpro.nikkeibp.co.jp/free/NBY/NEWS/20030221/1/でも既報）。

写真●高島屋が顧客に通知するために各店舗に掲示したお知らせ

　これに続き，高島屋もほぼ同様の問題を抱えていたことが明らかになった。これは弊誌が2003年2月，高島屋の新宿店で発見した。西武百貨店と同様，無線POS端末とサーバー間で，暗号化していない平文のデータをやり取りしていた。XML（eXtensible Markup Language）で記述した平文データの中に，クレジットカード情報や購入商品の情報，購入金額などが含まれていた。つまり，無線LANカードを挿したノートパソコンとデータをキャプチャするソフトさえあれば，特別な盗聴器を使うことなく，POS端末とサーバー間を流れる顧客のプライバシ情報を収集できる状態だったのだ。

　弊誌は2003年2月21日，高島屋に対してこの事実を知らせ，早急な対策，および顧客への告知とアフターケアをすることを促した。

　弊誌の連絡を受けてからの高島屋の対応は速かった。同社は2003年2月27日，全店舗においてデータ暗号化の対策を完了。その後，2003年3月13日から写真[拡大表示]のようなお知らせを全店舗で掲示し，顧客に対して無線POSシステムでやり取りするデータが傍受される危険性のあったことを告知した（このお知らせは3月13日から1週間掲示）。顧客からの問い合わせなどは，高島屋の各店舗の総務部で受け付けている。

セキュリティ意識は低かった

　高島屋によると，無線POSシステムは2000年3月に一部の店舗で導入したのが最初だと言う。その後，2000年9月から本格導入を始め，2002年8月下旬に全店舗への導入を完了した。店舗のシステム構築・運営を担当する高島屋ビジネスサービスの渡辺耕太郎システム業務本部システム営業部システム開発第1グループ次長によると，「無線POSシステムを導入を開始した当時は，はっきり言ってセキュリティに対する意識は低かった」と明かす。実際，「システム構築会社に対してセキュリティに対する要求仕様は出していなかった」と言う。

　同社が無線POSのセキュリティを意識し始めたのは，ラックが2002年11月に公開したドキュメント「個人情報漏洩の可能性のある脆弱性―百貨店で使用されているPOS機器の例」（http://www.lac.co.jp/security/intelligence/SNSSpiffy/4.html）を見てからだと言う。同社は，このドキュメントを読んですぐに暗号化の対策に取り組み始めた。ただ，自社のシステムが実際にどのように危険かをはっきり把握してはおらず，弊誌からの連絡によって「対策のピッチを上げた」（渡辺氏）。

　渡辺氏によると，今年の中元シーズンを目標に，さらなるセキュリティ対策を施すよう，システムの改善計画を進めていると言う。

日本NCRの役割と責任

　西武百貨店と高島屋の脆弱な無線POSシステムに共通するのは，どちらも日本NCRのシステムを利用しているということである。今回の一連の取材・調査を通じて，「そもそも古い無線POS端末は暗号化機構を備えていない」という意見も聞かれた。そこで，日本NCRに対しても，製品の仕様やセキュリティに対する考え方について問い合わせた。

　日本NCRが無線機構を備えたPOS端末を発売し始めたのは1993年からである。当時は，無線LANの暗号化方式であるWEP（Wired Equivalent Privacy）は標準化されておらず，当然，無線POS端末もWEPは装備していなかった。日本NCRが無線POS端末にWEPを搭載し始めたのは，2000年9月からである。

　ただ，日本NCRによるとWEPを搭載していない古い無線POS端末でも，アプリケーション・レベルでデータを暗号化することは可能だったと言う。これは，弊誌の質問に対して書面で回答を得た。当然，WEP搭載機はWEPとアプリケーション・レベルの暗号の両方式が利用可能である。

　しかし，たとえ無線POS機器でデータを暗号化できたとしても，実際には西武百貨店と高島屋で平文データを送受信する無線POSシステムが構築・運営されていた。このため，「日本NCRからセキュリティ面でのコンサルテーションは行われなかったのか」という疑問は残る。この質問に対して，日本NCRは「セキュリティに対する考えは技術的進歩や社会環境に応じて変化すべきもので，日々の動向に注視して対応することを基本と考えている。POSに無線方式を採用するに当たり，セキュリティ確保は最大の課題の一つだった。発売当初は，当時のさまざまな技術要因とITを取り巻く社会環境を鑑み，データ盗聴が困難だったことから，暗号化機構を備えていなくても安全性と価格のバランスに関する要求を満たせると判断した。近年，無線盗聴を可能にする製品が出てきた状況は認識しており，その都度，顧客に対してセキュリティ対策の要求を出している。今後も，適切な対策・防止策について研究開発を継続して行い，顧客に提案していく」と答えてきた。

　この回答に対して，前出の渡辺氏は首をひねる。前述の通り，高島屋が無線POSシステムの本格導入を始めたのは2000年9月である。当時，高島屋は日本NCRに対してセキュリティに関する要求は出さなかったが，渡辺氏によるとその際に日本NCRからも無線LANのセキュリティに関する助言はなかったと言うのだ。

　今回のような事件で，実際に顧客が被害に遭った場合，個人情報を取り扱う企業（今回の場合は百貨店）に責任がある。今国会に再提出予定の個人情報保護法案でも，個人情報を取り扱う事業者が安全管理措置を講じる義務，個人情報を取り扱う従業員や委託先の監督義務を定めている。渡辺氏も，日本NCRに責任があると主張しているわけではない。

　しかし，セキュリティを取り巻く状況はめまぐるしく変化する。このため，現実には個人情報を取り扱う企業とシステム構築を請け負う企業が，うまく連携し安全なシステムを構築していく必要があるだろう。特にシステム構築企業は，セキュリティ面での適切なアドバイスを個人情報を取り扱う企業に対して与える責任を持つと弊誌は考えている。