Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

カジノの内部不正

カジノホテルのセキュリティというのはハリウッド映画のオーシャンズシリーズでも”狙われた”程に、よく攻撃対象になるが故に、しっかりしたセキュリティ設計思想がされていると言われていますが、内部犯行への備えは穴がある場合もある様です。日本のカジノ解禁は2025年頃とも言われてますが、穴が無い様に準備が必要なのかもしれません。

www.macaushimbun.com

 

 マカオ司法警察局は10月11日、カジノ会員カードのポイント記録を不正に改ざんし、積算ポイントを使ってホテル宿泊と交換した上、第三者に販売して現金化し、利益を得たとして、コタイ地区にあるIR(統合型リゾート)併設のカジノ施設の従業員ら男女4人を逮捕したと発表。

 同局の発表によれば、今年9月にカジノ施設から従業員が詐欺行為を行なった疑いがあるとの通報を受けて捜査に着手したという。結果、主犯格のピットボスの女(43)がカジノテーブルにあるパソコンを使ってベット記録を改ざんカジノディーラーの女(43)とその夫で内装工の男(46)、別ののカジノディーラーの女(43)の3人の会員カードにポイントを加算3人はポイントを使って無料ホテル宿泊と交換し、1泊1部屋につき約1000マカオパタカ(日本円換算:約1万3420円)で転売して現金化し、利益を得ていたことが明らかになったとした。ホテル側の被害額については約3万8000マカオパタカ(約51万円)という。

マカオ新聞記事より引用)

 

◆キタきつねの所感

ホテルの被害額は、少なくても事件として挙げられている分に関しては約51万円とたいした事はありません。しかし、ホテル側は脇が甘かったと思います。

この手の不正をカジノのケースで聞いたのは初めてですが、内部不正で不正にポイント付与して景品(特典)と取り換える事件と考えると・・・些細な例だと、バイト先の店員が友達の為に特典カードのハンコを多めに押してあげるのは、昔からよくあった事ですし、今はまったく聞かなくなりましたが、パチンコ屋さんの景品関係での不正は以前に何度かニュースを見た気がします。

事件のレベルは違うかも知れませんが、バイト不正対策で監視カメラが導入されたり、ポイント付与について例えば付与者のハンコが必要だったり・・と、この手の対面式のお店でよくありがちな不正については様々な防衛策がとられてきたのも事実です。

 

今回の事件の背景について、日本ではまだカジノが許可されてませんので、あまりピンとこないかも知れませんが、カジノでお金を使う(ベット)分の一部が、会員カード(航空会社のマイレージカードの様なもの)に還元され、特典と交換できる仕組みを多くのカジノホテル(チェーン)が導入しています。

マカオのカジノ施設の多くは、航空会社のマイレージ制度と似たメンバーシッププログラムを提供している。入会することで、テーブルゲームやスロット機での掛け金額等に応じてポイントが貯まり、貯まったポイントをホテルの無料宿泊やフェリーチケット、家電製品などと交換することができる。また、掛け金が多い顧客はより高いレベルの会員へと移行し、特典が得られるという仕組み。

マカオ新聞記事より引用)

 

今回の事件の場合、まずポイントを付与(加算)する立場の内部従業員(主犯格の女)が裏切った(内部犯行した)訳ですが、個人でのポイント付与は記録されていた(ログに取られていた)と思いますが、あまり大きなポイント付与でなければ、不特定多数の客が来るカジノという特性から、あまり監視はされてなかったでしょうし、検知する閾値に達してなかったのだと推測します。

 

しかし、出し子(不正に付与されたポイントを交換する人)の部分で、カジノ側が検知できた可能性がある気がします。例えば以下の3点です。

 

①主犯格の女の、3人(共犯者A、共犯者Aの夫、共犯者B)のカードに対してポイント付与が明らかに多い

②共犯者Aと共犯者Bはホテル従業員であり、会員カードの登録や無料宿泊チェックイン時の身分証明などで紐づけが出来た可能性が高い

③3人の会員カードには、主犯格の女からしか大量のポイント付与が無い事が不自然

 

①は一定の期間内に、明らかに特定の顧客に対するポイント付与が大きい場合に不正検知できる仕組みを入れておけたと思います。

②は内部犯行チェックの1つではありますが、会員登録や、チェックインの住所確認で身分証提出を求めるホテルであれば、内部従業員の登録住所と照合が出来ると思います。

③は推測になりますが、主犯格の女がお休みの時、あるいはテーブルでポイント付与してない時間には、共犯者3人のポイントはほとんど変動してないと思います。こうしたケースでは不正のパターンが顕著ですので、ツール検知が出来るかと思います。

 

カジノ顧客の不正や、現金の動きには厳しいセキュリティを持つカジノですが、ポイントという資産に対しての監視が甘い所があったというのは、ポイント(特典)を資産と考えてアセスメントをしてないからだと思います(どこか7Payの事件と似ている気もします)。

 

今回のホテルだけでなく、顧客向けのポイントサービスは聖域として放置しておくのではなく、セキュリティホールが無いか定期的にチェックする事も忘れてはいけないポイントです。

 

 

 

※11/6(水)に日本プライバシー認証機構(JPAC)様からセミナーのお話を頂きました。国内のカード情報漏洩のみならず、海外のあまり知られてないカード情報漏洩事件などを解説したいと思ってます。良かったら下記開催案内もご覧いただけたら幸いです。

www.jpac-privacy.jp

 

 

日本人のためのパスワード2.0   ※JPAC様 ホームページ

7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。

 

 

f:id:foxcafelate:20191019071929p:plain


 

更新履歴

  • 2019年10月19日AM(予約投稿)