某そこそこ大きい小売店のPOSレジはWindowsXP EmbeddedでPOSサーバはWindows2003などが使われております
建前上はPOSサーバのデータを閲覧できる操作端末は店内に1台限りで専用ソフトにパスワードを入力しないと
データにアクセス出来ないことになっており、パスワードは管理職で無いと知らないことになっています、が

問題1、管理職しか知らないはずのパスワードを多くの店舗で社員どころかパートも知っていることが多い
問題2、そもそもパスワードが端末自体のiniファイルに平文で保存
問題3、パスワード以前にPOSサーバのレシートデータがあるディレクトリが操作端末にフルアクセスでマウント
問題4、レシートデータは平文のプレーンテキストでクレジットカード情報全桁がマスクもされずに記載
問題5、そもそも店内の全ての業務PCからPOSサーバにアクセス可能
問題6、「アクセス」とはsamba、FTP、リモートデスクトップ(しかも管理者権限)である
問題7、POSサーバのユーザー名/パスワードは容易に想像できる組み合わせかつ、どちらの桁数も短い上全店共通
問題8、操作端末、業務PCともに管理者権限で動いているので何でもし放題
問題9、そもそもサーバルームに誰でも入れる、と言うか鍵もかかってないしカメラも無い、店によっては倉庫として使用

マルウェアなんて無くても問題起きそうなんですが、何で今まで問題起きてないのか不思議で仕方が無い