Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

面前決済をしない高級ステーキ店の責任も重い

この事件は、単に悪さをした外国人が逮捕されたという内容だけでなく、カード決済が抱える様々な問題が凝縮されていると見る事が出来るかも知れません。

www.sankei.com

 

 東京都千代田区の高級ステーキ店でアルバイト中、利用客の精算時にクレジットカード情報を盗みタクシー代を支払ったとして、警視庁組織犯罪対策特別捜査隊は割賦販売法違反や詐欺などの疑いで、フィリピン国籍で住居不定、無職、トレンティーノ・ニッコ被告(24)=同法違反罪などで起訴=を再逮捕した。

 組特隊によると、トレンティーノ容疑者は盗み取ったカード情報を宿泊予約サイトでの高級ホテル予約に使用。「パレスホテル東京」(千代田区)の宿泊代約39万2千円や「ザ・リッツ・カールトン東京」(港区)のスイートルーム代約35万9千円を支払ったとして、警視庁が7月以降、2度逮捕、起訴していた。

 トレンティーノ容疑者は平成30年3月から今年2月までステーキ店で勤務。客がテーブルで会計する際預かったクレジットカードをレジまで持っていく間にカード番号や名義人名、有効期限、セキュリティーコードといった情報を暗記し、メモをスマートフォンで撮影して保存していた

(中略)

 調べに容疑を認め、「(上位クラスの)ゴールドカードなどを狙った」などと供述。被害は約360件、総額約950万円に上り、ネット上の事前決済サービスを悪用し、友人らを宿泊や飲食などに誘っていた。被害者らは「頻繁にカード決済をしているので、どこで情報を盗み取られたか分からなかった」などと説明している。

産経新聞記事より引用)

 

◆キタきつねの所感

セキュリティのトレーニング(頭の体操)課題になりそうな内容です。この記事の情報から、ざっと思いつくだけでも6つの課題があります。

 

 ①テーブル会計問題(PIN入力してない問題)

 ②外国人雇用問題

 ③店員相互監視の破綻

 ④タクシー/宿泊サイトの3Dセキュア未導入

 ⑤上級カード保有者がカード利用履歴を意外とチェックしてない問題

 ⑥高級ステーキ店ってどこ?

 

この事件の最大の問題は(諸説あるとは思いますが)、私は「テーブル会計」だと思います。高級ステーキ店のみならず、少し前であれば高級デパートでもクレジットカードは一度預かられ、バックルームにあるカード決済端末(集中レジ)にもっていかれて、カード決済処理がされたのちに、伝票に署名(サイン)を求められたかと思います。

自分の手元からカードが見えないところに行ってしまうと、外国人はクレームをつける方も結構いらっしゃいます。以前にこの環境での不正が多かったのは、悪意のある店員が小型の磁気リーダにカードを不正に通して持ち出し、窃取したカード情報から偽造カードを作るといった手法でした。しかし現在は日本もグローバルでもこの攻撃は減少傾向です。

その理由として挙げられるのがICカードの普及です。

日本でも改正割賦販売法に併せて、デパート等でもPOSシステムをまだ改修をしている所がありますが、これは実行計画に基づいて、2020年までのICカード100%化(決済端末を含む)を目指しているからです。

 

ICカードでの決済では、PIN(暗証番号)入力が標準となります。この入力は店員が代行できる訳ではないので、デパート等の加盟店では、最近はレジ近くにPIN入力機を置く様になってきています。

senken.co.jp

 これまで販売員が客からクレジットカードを預かり、客の目の届かない集合レジで処理するオペレーションが主流だったため、インバウンド(訪日外国人)を中心に不安を感じられることも多かった。6月1日に施行された改正割賦販売法で、小売り事業者はカード情報の適切な管理や不正使用の防止といったセキュリティー対策の実施が義務付けられたことも契機となっている。

 改正割賦販売法は、安心・安全なクレジットカードの利用環境の整備が目的。世界で広がるキャッシュレス決済も背景にある。「クレジット取引セキュリティ対策協議会」が策定した実行計画では、対面販売の小売業は20年3月末までにPOS(販売時点情報管理)など決済端末のIC化が必要。決済時には客のPIN(暗証番号)入力も必要なため、改正割賦販売法への対応=面前決済という構図ができ、売り場内への決済端末の設置が求められる。

(織研新聞記事より引用)

 

今回の事件では、お客のカードを集中レジまで持って行く間にカードを不正に覚えられてしまった事からカード不正利用に繋がっていますが、ICカード対応していたとすれば、テーブル会計の為に、決済端末(PIN入力可能な)をテーブルまで持ってくる運用が一般的なので、防げたはずです。

つまり、テーブルから集中レジ(バックヤード)までの間に、店員が(何らかの)悪さができる状態である事が大きな問題だったと言えるのです。

 

②は外国人雇用問題ですが、今や日本では避けて通れなくなってきました。諸外国では、従業員の資質について事前や定期的に犯罪歴チェックやクレジットヒストリーチェックを行い、従業員をチェックしたりしますが、日本ではそうした事が難しい環境になっています。高級ステーキ店である事および店の所在地(客層)から、英語が話せる店員が必須だったのかと思いますが、外国人の雇用(アルバイトであっても)については、あるいはその教育については、もう少し慎重さが必要だったのかも知れません。

 

③は②が出来ない状況だった場合に残された対策の1つで、店員同士の相互監視(けん制)を行う事で不正を検知しようとする試みです。今回の事件では容疑者は、客のカードを頭で覚えて、それを後からスマホに入力しています。店内で勤務時間中に(不自然に)スマホを触っている事を、店のオーナーは気づけないかも知れませんが、同時間帯に働いている同僚店員なら怪しげな行動に気づけたのではないでしょうか?

スマホは業務中持ち込み禁止の環境であれば、更にこの不自然な行為は目についたかと思います。こうした事が出来ない環境(例:高級店なのに店員は勤務時間中もスマホし放題・・・)なのであれば、監視カメラを導入して定期的にチェックする位しか対策を思いつきませんが、やはり何らかの怪しげな行動(ヒヤリ・ハット)はあったのではないかと思います。

 

④はカード情報を不正に窃取した後、気軽にタクシー配車アプリホテル事前予約サービス他人のカード情報が登録できてしまっている所です。これらのアプリは本人確認が甘いのではないでしょうか?例えばカード新規登録に際しては3Dセキュア認証が必要・・・といったチェックも有効かと思います。

 

⑤はゴールドカード・・よりも上のカードをお持ちの、高級ステーキ店を気軽に使える方々が、リッツカールトン宿泊で約35万円使われても「気づかない」事です。ゴールドカードは最近は一般カードと大差ありませんので、おそらくプラチナカード以上のカードをお持ちな方々なのかと思いますが、毎月100万円以上カード利用をしていて、数十万が誤差に思えてしまったのかと思います。ここの部分については、高級ステーキ店であるからこそ、容疑者はこうした顧客を「狙った」気がします。

毎月の請求明細を見れば普通は不自然な支払いには気づきそうなものですが、VIPの多くが気づかないのであればカード会社は普段とは違う購買(カード利用)履歴をVIPの代わりに検出してあげるサービスを付帯サービスとして考えても良いのかも知れません。

 

⑥は、調べてみると全てのメディアが「東京千代田区の高級ステーキ店」がどこであるかを開示してないのです。情報開示に関しての”忖度”がある気がします。

下手に書くと名誉棄損で訴えられてしまう可能性もありそうなので、これ以上触れられませんが、1つ言える事として、カード決済を面前決済にしてなかった店舗側の責任も重い気がします。これはつまり、ICカード対応(カード決済端末の)をまだしてないという事に他なりません。

磁気カード決済だけしか許してない店舗の場合、決済端末(POS)回りには諸々の脆弱性が残ります。だからこその改正割賦販売法なのであり、実行計画なのだと思います。無線でテーブル決済が出来る端末も出てきていますし、それが出来ないのであれば、(一時的に)テーブル決済を諦めて、ICカード化が終わるまでは、集中レジまで決済する人に来てもらうというのも、本来は正しい姿なのではないでしょうか。

 

 

 

 

余談です。そういえば丸の内(千代田区)に、良いステーキハウスがありますね。

wolfgangssteakhouse.jp

 

 

食べログ(TOP5000に入っており店の評判は高い様です)だけでなく、某巨大掲示板の評判もなかなか良い様です。(接待の)機会あれば使ってみたいですね。。。現金支払いで。

f:id:foxcafelate:20190914140926p:plain

 f:id:foxcafelate:20190914141226p:plain

 

 

 

 

日本人のためのパスワード2.0   ※JPAC様 ホームページ

7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。

 

 

 ã¹ãã¼ã­ãã¦ã¹ã®ã¤ã©ã¹ã


 

更新履歴

  • 2019年9月7日PM(予約投稿)