Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

店舗従業員によるクレジット情報窃取

Security Nextにセキ薬品の内部不正のニュースが出ていました。

www.security-next.com

■公式発表

 弊社 愛宕店 元従業員によるお客様情報の不正利用について

 

同社によれば、ドラッグストアセキ愛宕店で3月1日から5月21日にかけて、クレジットカード決済を利用した顧客のクレジットカード情報234件を同店でアルバイトをしていた元従業員が盗み取っていたという。クレジットカードの名義や番号、有効期限セキュリティコードが含まれる

元従業員は、顧客の氏名や盗んだクレジットカード情報を用いてインターネット通信販売で商品を購入していたが、クレジットカード会社より不正利用の疑いがあるとして同社に連絡があり、調査を行ったところ問題が発覚した。

(Security Next記事より引用)

 

◆キタきつねの所感

クレジットカード情報をアルバイト店員が不正窃取。さらっと見ると単純そうな内部犯行ですが、『セキュリティコード』が漏洩した点については、かなり問題がありそうです。

実際の手口については、公式発表、SecurityNextの記事共に書かれていません。私自身は、だいたいこの部分を狙ったな・・というのは推測ができるのですが、このBlogに書く事がそうした犯罪を誘発してしまう可能性があるので、今回は対策ポイントを主に書こうと思います。

ドラックストアの店頭POSでクレジットカード情報を狙う場合、POS自体に不正な機器を取り付けたり、ウィルスを仕掛けたりして情報を取り出そうとするやり方があります。また一昔前であれば、クレジットカード明細あるいはレシートにカード番号が出ていたりしたケースもあるので、レシートも怪しかった時もあるのですが、最近はマスキング(XXXX XXXX XXXX 1234)されているはずです。あるいは、非常に記憶力が良い犯人がお客から預かったカードの情報を一瞬で覚えてしまう・・・という事も考えられます。

 

今回のケースは、そのいずれも、恐らく狙われた脆弱点ではないと思います。

 

では、この企業として事件を防ぐためにはどうすれば良かったのでしょうか?

公式発表には、再発防止策について2点書かれています。

7.再発防止策

 今般の不正行為の発生を厳粛に受け止め、社内でのチェック体制を見直し全従業員に対する教育などを通じて再発防止に努めてまいります。

(公式発表より引用)

2点目の『従業員教育』ですが、「不正利用は発覚しやすい」であるとか「懲罰があなたの今後の人生に・・」といった基本的なところを啓蒙していくのは、アルバイトや外国人従業員が多く戦力として活躍しているドラッグストアでは重要かと思います。

 

1点目の、チェック体制見直しは、私の考えと同じかどうか分かりませんが、『監視カメラ』をきちんと上位監督者がチェックする事を指しているのだとすれば、一番有効な対策だと思います。

今回の元従業員の犯行行為は、監視カメラに明らかに(不自然な行為が)映っていたと思います。監視カメラは何かあった時に証拠として見れれば良い(ただ録画しておくだけ)との使い方をしている企業が多いかと思いますが、内部犯行については『チェック』しているかどうかで、未然に/最小限に被害を食い止められるかが変わってきます

元従業員は3ヶ月弱(3月1日~5月21日)、不正に自身が対面したお客のクレジットカード情報を234件窃取してる訳ですが、監視カメラチェックが出来ていれば、不審な動作を検知できていた可能性が高いと思います。POSレジ(現金)を保護する目的で、ドラックストアでは監視カメラが(死角なく)設置されているのですから、それを有効に使うべきだと思います。(それが出来ないのであれば、監視業務を外注すべきかも知れません)

 

監視をきちんとしない対面POS店舗では、同様な事件が発生してしまうかも知れません。

 

 

 

薬局・ドラッグストアのイラスト

 

更新履歴

  • 2018年9月1日PM(予約投稿)