スキミングに関する噂
クレジットカードやキャッシュカード等に記録された情報を不正に取得し、現金を引き出したり物品を購入する犯罪、スキミングの被害が拡大している。様々な方面で取り上げられ社会問題となっているようだが、リスクの実態があいまいなまま、憶測や噂に基づいた情報が蔓延している感もある。ここでは、とりあえず、真偽のあいまいな情報を整理してみる。真偽のほどは追々確認していきたい。
【噂その1】
「キャッシュカードやクレジットカードの磁気情報は服や鞄の上から非接触でスキミングができる。」
キャッシュカードやクレジットカードの磁気情報は服の上からタバコの箱サイズの非接触スキマーによって読み取られる危険があるという情報はかなり広まっている。全く不可能ではないにしろ、実用的なレベルでスキミングが可能なのかという疑問の声もある。多くの報道番組でデモが放送されているようだが、非接触ICカードのスキミングと混同されている可能性もある。
【参考情報】
スキミング犯罪対策レポート(日本情報安全管理協会)
http://www.jilcom.or.jp/skimingreport1.html
スキミングの歴史として2003年に磁気情報非接触式スキミングに関する記述がある。
【噂その2】
「ICカードは非接触でスキミングが行われ危険」
非接触ICカードは仕様上、非接触でなんらかの情報を読み出せるが、そこにどのようなリスクが存在するかが明確にされないまま、読み出されること自体が危険視されている。実際に読み出される情報は何で、それを使ったどのようなリスクが存在するかを分析する必要がある。
【参考情報】
狙われる銀行預金 偽造カード新手口(読売テレビ・ウェークアップ!@読売テレビ)
http://www.ytv.co.jp/wakeup/special-report/special-report.html
狙われる銀行預金 偽造カード新手口(読売テレビ・ウェークアップ!@メディアストリート?)(内容は上に同じ)
http://mscw.msec.ne.jp/ytv-cgi/wakeup/special-report/bn/2005/sr_050205_01.html
2005年2月6日に読売テレビ・ウェークアップ!で放送された内容、ICカードでは非接触型スキミングが可能なので危険との指摘。
ICカードの非接触スキミングですって? ええかげんなことぬかすな(高木浩光@自宅の日記)
http://takagi-hiromitsu.jp/diary/20050206.html#p01
「読み出せるからといって、なりすませることにはならない。 」という話。
【噂その3】
「銀行キャッシュカードには暗証番号に関する情報が記録されている。」
銀行のキャッシュカードには暗証番号に関するなんらかの情報が記載されており、口座情報を書き換えると同じ暗証番号でカードが利用できる。もし仮に暗証番号かハッシュなどがカードに記載されているとすると、暗証番号を変える度にカードの磁気情報を書き換えないといけなくなるが、私の経験上そのようなことは無かった。一昔前のキャッシュカードなどには暗証番号等に関する情報が記録されていたことがあったようだが、最近はそのようなものはないとも聞いたことがある。銀行のDBに保管されている暗証番号情報との対応をとるために特別なIDが保存されているというのはありえなくはないが口座番号で十分なのであまり考えられない。
【参考情報】
狙われる銀行預金 偽造カード新手口(読売テレビ・ウェークアップ!@読売テレビ)
http://www.ytv.co.jp/wakeup/special-report/special-report.html
狙われる銀行預金 偽造カード新手口(読売テレビ・ウェークアップ!@メディアストリート?)(内容は上に同じ)
http://mscw.msec.ne.jp/ytv-cgi/wakeup/special-report/bn/2005/sr_050205_01.html
暗証番号の分かっているカードの磁気情報のうち暗証番号に関する情報のみを残し口座情報を書き換えるだけで、不正な引き出しが可能になるという話。
ICカードの非接触スキミングですって? ええかげんなことぬかすな(高木浩光@自宅の日記)
http://takagi-hiromitsu.jp/diary/20050206.html#p01
上記について「エーーーー?? ホントかよ。」という話。
2005/02/08 Re: ICカードのスキミング(中村正三郎のホットコーナー:MS-Watch)
http://www.asahi-net.or.jp/~ki4s-nkmr/#MSWatch
匿名メールによる銀行キャッシュカードに関する仕様の解説。「あの番組はあまりにひどいので筆をとりました。」とのこと。
【噂その4】
「暗証番号が印字される貴重品ロッカーが存在する。」
多くの報道にあるのでおそらく真実だと思うが、マスターキーを使って全利用者の暗証番号が出力される貴重品ロッカーというのはどういうものでどういう仕様なのかという純粋な疑問。貴重品ロッカーについていくつかWeb上で確認してみたが詳細な記述は見つけられなかった。ちなみに下記のゴルフ場事件ではカード型カメラというのも併用されていたようなので全てがそのような仕様でもないのかもしれない。
【参考情報】
ゴルフ場支配人ら逮捕 窃盗団、暗証番号入手(毎日新聞 2005年1月20日@MSN毎日インタラクティブ)
http://www.mainichi-msn.co.jp/shakai/jiken/news/20050120k0000m040171000c.html
銀行のキャッシュカードには、暗証番号エリアは存在しますが、このフィールドは、当初の設計時点では使われていましたが、現在では使われていません。
センター照合方式になっており、オンライン接続して、オンラインセンターのファイルと照合する方式になっています。
従って、松村氏の意見は事実誤認です。公の電波を通しての事実誤認は困ったものです。
> 「銀行キャッシュカードには暗証番号に関する情報が記録されている。」
昔のキャッシュカードには暗証番号が入っていたが、現在のキャッシュカードではその部分は空(ゼロ埋め?)になっていて、暗証番号はセンターでDB管理している。
問題は古いカードから新しいカードへの移行がどのようになされたかで、暗証番号の入ったカードをATMに入れたらセンターDBに登録した上でカード上の暗証番号を削除するなんてクソ実装になってないかとちょっと不安に思う。
お二人からの情報提供ありがとうございます。
~ですよね。
昔作ったカードを使った場合にどうなのかとか、ryneさんが書かれているような実装上の問題が無いとも言えないところはあるかもしれません。
おそらくはTVの表現上の問題なんではないかなとは思うんですが。
とりあえず自分の目で確かめてみたくて磁気カードリーダのよさげなものを物色中です。アメリカだとものによってはむちゃくちゃ安く(5$~)買えたりするんですね。
せっかくなんでライターとしても使えるのが良いかな。
> 問題は古いカードから新しいカードへの移行がどのようになされたかで、暗証番号の入ったカードをATMに入れたらセンターDBに登録した上でカード上の暗証番号を削除するなんてクソ実装になってないかとちょっと不安に思う。
確か、そのようになっていたと思います。
確かに危険でしょうけれど、カード上に記録されかつセンターにも登録されている場合を異常として処理をする実装になっていれば、問題はないはず。銀行によって違うのかな?
>らんぴょうさん
ちゃんと異常チェックしていればまず問題はないでしょう。それに暗証番号の残ったカードなんかもう無いはずなので今はそもそも暗証番号があれば異常扱いにしているべきですよね。
ただカード偽造に無策な銀行の体質を考え、あのようなTV番組を見ると全然チェックしてない可能性を考えて不安になってしまいます。
カードの暗証番号はどういったケースに必要ですか?
基本的にカードはサインで使用しますので、あまり使う場面はありません。 ただ、最近はカード会社のホームページのログインで使用したり、一番必要なのがキャッシング時で…