TBSのニュースの森が、シリーズ「安全崩壊」の中で、今週、偽造されたキャッシュカードによるATMからの不正現金引き出し事件の発生をとりあげている。
推定されている手口として紹介されているのが、小型の非接触型スキマーというものがあって、満員電車内などでポケットの財布から磁気パターンを読み出しているのではないかというもの。上の文字の記事では断定的に読めるが、放送では、非接触スキマーの実在は確認されていない様子だったし、満員電車の話は経験したということではなくて可能性として考えられるという様子だった。主婦が警察からそういう可能性を聞かされたと話していた。
これを見て疑問に思ったのだが、カードの磁気パターンに、口座番号と口座名義以外に何か秘密情報が書かれているのだろうか? 秘密情報がないのならば、スキマーなど使わなくとも、口座番号と口座名義のリストがあれば、カードの偽造はできてしまうはず。チェックサム的な擬似秘密情報があるとしても、その生成規則が漏れてしまえば、偽造できてしまうはず。
クレジットカードではスキマーがよく使われていると聞くが、クレジットカードの場合は、カード番号自体が漏れてはいけない秘密情報であるという、そういう前提で成り立っている仕組みなので、名簿が作られることは(漏えいしないかぎり)通常ないわけで、だからスキマーで番号と名義と有効期限を盗むことになる。
それに対してキャッシュカードの場合は、口座番号と名義のリストというものは存在し得る。口座番号は、振込んでもらうために相手に伝える公開情報であるし、Webで公開している場合さえある。また、ある方法で、機械的に大量の口座番号と名義のリストをインターネットで取得することのできる銀行がある*1。この事件に本当にスキマーが使われているのだろうか。
26日の放送では、暗証番号がどうしてわかったのかが謎だと言っていた。27日の放送では、全国銀行協会の、「対策としては過去にも暗証番号の厳正な管理をお願いしている」と、さも、暗証番号の管理に不備があった人が被害に遭っているかのようなコメントが紹介されていたが……。まさかこの手口? そういうことのできる銀行はもうなくなっただろうと思うのだが……。
ちなみに、今回の事件がスキミングによるものだとするのなら、電車内よりも、デビット決済の現場の方がスキミングされやすそうだが、きっと、今回の被害者がデビットを使っていなかったということなのだろう。なぜそれを放送で言わないのだろう?
そして、磁気カードではなく、RFIDの場合も、そうしたスキミングが起きても被害が出ないようにしなくてはならない。
全国銀行協会のサイトに、「盗難通帳による払出し件数・金額等に関するアンケート結果について」というものが発表されていた。盗難通帳による不正引き出しの被害額は平成14年度で41億円にものぼるようだ。