米フェデックス キンコーズの支払いシステムにセキュリティ不具合--研究者らが指摘

　FedEx Kinko'sの店舗で利用されている支払カードシステムにセキュリティ上の不具合があることが、研究者らによって明らかにされた。FedExは米国時間3月2日、この不具合について、自社にとって重大なリスクにはならないと述べた。さらに同社は、この問題による顧客への影響は全くないと付け加えた。

　同社は当初、ExpressPay支払カードシステムが悪用可能であるという指摘を否定していた。今週に入り、セキュリティ研究者らは、ハードウェアや技術に関して多少の知識を持っている人ならば、FedEx Kinko'sのサービスを悪用してサービスを無料で利用したり、さらには現金を入手したりすることができると発表していた。

　FedExの広報担当Maggie Thillは2日「インターネットで公開された指摘に関する調査は、現在も続行中だ。社内で敷かれている管理体制やセキュリティ対策をみる限り、重大なリスクは存在しないと思われる。さらに、この問題による顧客への影響はない」と語った。

　情報セキュリティベンダーSecure Scienceの研究者らによると、この支払システムには十分なセキュリティが施されていないため、悪用される可能性があるという。Secure Scienceは2月28日、問題を詳述した電子メールをある人気メーリングリストに送信していた。

　FedExが当初、この指摘内容を否定したことを受け、この研究者らは、同不具合を悪用する方法を説明した写真やビデオをウェブに掲載した。写真は、FedEx Kinko'sの支払いカードにチャージできる金額の上限が100ドルであるにも関わらず、313ドル37セント分の残高があることを機械で確認できる様子を写したもの。また、ビデオは、研究者がカードのシリアル番号を変更して残高を増やす様子を撮影したものだと、研究者らは語っている。

　「説明している行動は窃盗行為と何ら変わらない。こうした不法行為を容認することはできない。セキュリティはFedEx Kinko'sにとって最優先事項である。われわれは刻々と変化する技術を検討しながら、常に最新のセキュリティ対策を施している」（Thill）

　しかし、自社の支払カードシステムの不正利用に対して、FedExが何らかの対応をとるかについて、Thillは言及しなかった。「セキュリティ対策の具体的な内容については明らかにできない」（Thill）

　FedEx Kinko'sの支払いシステムでは、ユーザーがチップ搭載カードに現金をチャージする。研究者らは、セキュリティコードさえ分かればカードに保存されたデータを自由に書き換えられることに気付いた。カードに保存された情報は、セキュリティコードを含め、まったく暗号化されていないと、研究者らは述べている。「セキュリティコードさえ分かれば、市販の安いスマートカードリーダー／ライターを使ってカードに保存されたデータを自由に書き換えられる」（研究者ら）

　ただし、セキュリティコードを入手するには、多少の手間がかかる。「カードの接触部分に配線をはんだ付けし、これらの線を低価格のロジックアナライザーに接続すれば、キオスク端末やカード端末がカードへの書き込み準備をする間に3バイトのコードを入手できる」と研究者らは述べる。

　研究者らによると、現在流通しているFedEx Kinko'sのExpressPayカードではすべて共通のセキュリティコードが採用されているようだという。そのため、ウェブにこのコードが流出すれば、この不具合の悪用はますます簡単になる。