小売店のワイヤレス ネットワークはまだ危険が一杯

この記事のURLhttp://japan.internet.com/allnet/20071119/12.html

小売大手 TJX Companies が、ワイヤレス ネットワークに関連した原因で顧客データを流出させて大きな話題となったのは今年のことだが、多くの小売店は、それを教訓にしておらず、顧客データ流出から自身を保護することに取り組んではいないようだ。

ワイヤレス不正侵入防止技術ベンダー AirDefense は最近、主要8都市の小売店3000店舗以上のワイヤレス環境について、言わば「勝手に使う (ウォードライブ)」形でセキュリティ調査を行なった。対象となった都市は、アトランタ、ボストン、シカゴ、ロサンゼルス、ニューヨーク市、サンフランシスコ、ロンドン、パリだ。

この調査方法により、小売店で運用しているワイヤレス機器2500台を検出したが、その85％にセキュリティ設定上の問題があり、何らかの形で悪用されかねない状態だった。

実際 AirDefense によると、25％の小売店が、暗号化方式として『WEP』を使っているか、またはワイヤレスデータを保護するための暗号化をまったく行なっていなかったという。WEP は暗号強度が最も弱く、1分と経たずに解読できてしまう。

ワイヤレス ネットワークに関連した小売店のデータ流出が、相次いで話題になった後だったことから、「もっと意識が高いと期待していた」と AirDefense の最高セキュリティ責任者 Richard Rushing 氏は述べている。「もっと良いだろうと期待と理想を抱いていたが、最初のショッピングセンターでその夢は砕かれた」

Rushing 氏にとって、今回の調査結果は完全に予想外だったというわけではない。同氏は、「数年前に同様の調査をしたことを憶えている。85％ないし90％が暗号化を行なっていないという結果だった」と述べており、その当時に比べれば改善が見られる。

しかしそれでも Rushing 氏にとって、脆弱な店舗の規模については予想外だった。「『Payment Card Industry (PCI) Data Security Standard』(クレジットカード業界が推進するセキュリティ規格) が、従わざるを得ない形で対応を押し進めたと思っていた。問題は、小売店が PCI 対応後、自身のワイヤレス ネットワークについて一度も考えなかったことだ」

PCI では小売店に対し、安全なネットワークを構築して維持管理し、クレジットカード保有者のデータをネットワークの残りの部分から切り離して保護することを要求している。また、カード保有者データの送受信を暗号化することも要件の1つだ。

だがそういった要件があるにもかかわらず、PCI に準拠したことになっている多くの小売店のネットワークには、脆弱性が依然として存在する。

Rushing 氏は次のように述べた。「小売店のネットワークの50％は、外部に出す筋合いのものではないトラフィックを漏らしている。消費者の取引情報が漏れている可能性を考えてみるべきだ」

japan.internet.comのウエブサイトの内容は全て、国際法、日本国内法の定める著作権法並びに商標法の規定によって保護されており、その知的財産権、著作権、商標の所有者はインターネットコム株式会社、インターネットコム株式会社の関連会社または第三者にあたる権利者となっています。
本サイトの全てのコンテンツ、テキスト、グラフィック、写真、表、グラフ、音声、動画などに関して、その一部または全部を、japan.internet.comの許諾なしに、変更、複製、再出版、アップロード、掲示、転送、配布、さらには、社内LAN、メーリングリストなどにおいて共有することはできません。
ただし、コンテンツの著作権又は所有権情報を変更あるいは削除せず、利用者自身の個人的かつ非商業的な利用目的に限ってのみ、本サイトのコンテンツをプリント、ダウンロードすることは認められています。