小売店のワイヤレス ネットワークはまだ危険が一杯

小売大手 TJX Companies が、ワイヤレス ネットワークに関連した原因で顧客データを流出させて大きな話題となったのは今年のことだが、多くの小売店は、それを教訓にしておらず、顧客データ流出から自身を保護することに取り組んではいないようだ。

ワイヤレス不正侵入防止技術ベンダー AirDefense は最近、主要8都市の小売店3000店舗以上のワイヤレス環境について、言わば「勝手に使う (ウォードライブ)」形でセキュリティ調査を行なった。対象となった都市は、アトランタ、ボストン、シカゴ、ロサンゼルス、ニューヨーク市、サンフランシスコ、ロンドン、パリだ。

この調査方法により、小売店で運用しているワイヤレス機器2500台を検出したが、その85％にセキュリティ設定上の問題があり、何らかの形で悪用されかねない状態だった。

実際 AirDefense によると、25％の小売店が、暗号化方式として『WEP』を使っているか、またはワイヤレスデータを保護するための暗号化をまったく行なっていなかったという。WEP は暗号強度が最も弱く、1分と経たずに解読できてしまう。

ワイヤレス ネットワークに関連した小売店のデータ流出が、相次いで話題になった後だったことから、「もっと意識が高いと期待していた」と AirDefense の最高セキュリティ責任者 Richard Rushing 氏は述べている。「もっと良いだろうと期待と理想を抱いていたが、最初のショッピングセンターでその夢は砕かれた」

Rushing 氏にとって、今回の調査結果は完全に予想外だったというわけではない。同氏は、「数年前に同様の調査をしたことを憶えている。85％ないし90％が暗号化を行なっていないという結果だった」と述べており、その当時に比べれば改善が見られる。

しかしそれでも Rushing 氏にとって、脆弱な店舗の規模については予想外だった。「『Payment Card Industry (PCI) Data Security Standard』(クレジットカード業界が推進するセキュリティ規格) が、従わざるを得ない形で対応を押し進めたと思っていた。問題は、小売店が PCI 対応後、自身のワイヤレス ネットワークについて一度も考えなかったことだ」

PCI では小売店に対し、安全なネットワークを構築して維持管理し、クレジットカード保有者のデータをネットワークの残りの部分から切り離して保護することを要求している。また、カード保有者データの送受信を暗号化することも要件の1つだ。

だがそういった要件があるにもかかわらず、PCI に準拠したことになっている多くの小売店のネットワークには、脆弱性が依然として存在する。

Rushing 氏は次のように述べた。「小売店のネットワークの50％は、外部に出す筋合いのものではないトラフィックを漏らしている。消費者の取引情報が漏れている可能性を考えてみるべきだ」