今日の讀賣テレビの「ウェークアップ!」は、「狙われる銀行預金 偽造カード新手口」という特集を放送していた。
みていたところ、「日本をはじめ世界各国で捜査機関の顧問を務める人物」として紹介される*1松村テクノロジー社長の松村喜秀氏が登場し、銀行のICカードの「非接触スキミング」を実演していた。
おいおいおいおい、ちょっとまて、そんなええかげんな、根拠なしに危機感煽るなよ。
最近、金融機関では、セキュリティー対策として、偽造が極めて困難とされるICチップを導入し始めているが、これにも大きな落とし穴が!
(松村エンジニアリング社長)
「これのデータはどうやって読めるかやってみましょう。 近づけるだけで、非常に早い時間で、簡単に読めます」そこには、一瞬でカードのデータが現れた。これが、非接触型スキミング。
カードに触れずにデータを盗むことができるのだ。なんと、コートの上からでも反応した。さらにかばんの中でも!
今のところ被害の報告は無いようだが、偽造されるのも時間の問題との指摘もある。
狙われる銀行預金 偽造カード新手口, 讀賣テレビ, ウェークアップ!, 2005年2月6日
あのねー、ICカードと磁気ストライプカードは同じじゃないんだよ。
テレビの映像では、財布に入れたカードをズボンのポケットに入れて、コートの上から RFIDカードリーダで読取ったデータを、そのままパソコン画面上に16進数で表示させていただけだ。データにはモザイクがかかっているので、内容は不明。
そんなもの、そりゃ読取れば何かしらのデータは出る。ICカードが、内蔵の暗号演算器によって、きちんとしたセキュアプロトコルに基づいて通信しているなら、読み取れる生のデータは毎回異なる値となるはずだ。
もちろん、固定の値として読める部分もある。たとえばEdyカードで言えば、Edyナンバーという番号がカードに付されているが、その値は誰でも読み出せてしまうし、Suicaで、入退場履歴が誰でも読み出せてしまうことは、私も書いてきた。 それは、たまたまそのように設計した(プライバシーを軽視して利便性を選択した)ためであって、秘匿できないからというわけではない。生体認証用のパターンデータをICカードに入れる場合には、当然ながら第三者には復号できないようにするだろう*2。読めているデータに何かしら問題があるのなら(たとえば口座番号とか)、何のデータなのかを示して批判するべきだ。
それに、キャッシュカードの文脈では、なりすまし(や複製)の脅威が語られているわけだが、ICカードでは磁気ストライプと違って、読み出せるからといって、なりすませることにはならない。
たとえばEdyでは、EdyカードからEdyナンバーを誰でも読み取れるが、Edyのリーダ・ライタに対して、なりすましてそれを与えることはできない。暗号を破らない限り。そのように作られているはずだ。
暗号くらい破られるとか言い出しそうだが、磁気ストライプの固定データの暗号と同じように解読できるようなものではない。
FeliCaの暗号システムが安全だとは言わないが(知らないので)、住基カードのように、公開鍵暗号演算機能を搭載したICカードであれば、この番組で言われているような方法での複製はできない*3。
RFIDタグの遠隔読み出しや、なりすましの問題を訴えてきた私が言うのもなんだが、というか、そういう私だからこそ言わねばならないのだが、本当に安全でないものと、本当は安全なものとを、いっしょくたにして危機感を煽るのはやめていただきたい。
そういうことを続けていると、それこそ、「消費者に理解されない○○」だとか、「消費者が不安がるのは技術を知らないから」などと、問題を隠したい連中の都合のいいネタにされるのがオチだ。
こういうことを避けるためにも、ICカードにせよ、ICタグにせよ、暗号機能を搭載しているのか、どのようなセキュアプロトコルになっているのか、どんな情報が誰でも読み出せる設計になっているのかを、製造者やサービス事業者に、公開させるよう義務付けることが必要だろう。
ちなみにこの放送では、ICカードの話の直前の部分で、磁気ストライプのキャッシュカードで、暗証番号を知っていなくても盗んだカードを使えるという話が出ていた。
(松村エンジニアリング社長)
「ここに他人のカードがあります」ここで、暗証番号が解っている別のカードを用意する。
(松村エンジニアリング社長)
「これを入れます。暗証番号だけを残しておいて、他のデータを移してしまえば、 本来持っている他人のカードの暗証番号を使われるので暗証番号は関係なく作ることが可能です」高度な技術を使って、盗んだキャッシュカードのデータのうち、 本人の情報だけを、別のキャッシュカードに移し変えると、 なんと、別のカードの暗証番号のままで、お金を引き出すことができるというのだ。
(記者)
「暗証番号いらないんですか?」(松村エンジニアリング社長)
「いらないんです。 犯罪グループが、知っている暗証番号をそのまま残して他の部分を入れ替える犯罪も考えられます」狙われる銀行預金 偽造カード新手口, 讀賣テレビ, ウェークアップ!, 2005年2月6日
エーーーー?? ホントかよ。本当にそうなら、その銀行のシステムはそうとうにタコだということになる。*4
非接触ICカードの話であんなええかげんなことをする人がこれを言ったところで、眉唾に聞こえてしまうのだが……。
ちなみに放送では、松村氏は最初に「可能性はあります」と言って始めていた。
もっとも、この時期に、なにがなんでも銀行のカードは危険だということにしないといけないというのはわかる。
今必要なことは、預金者保護のための制度作りだろう。だが、おそらく、これまで銀行業界は、それを避けるために、ICカードや生体認証が実用になる日がくるまでじっと耐え忍んでいたのではないか。ICカード方式をうまく普及させることができれば、銀行側に責任のあるとされかねない方法での不正引き出しは激減させることができる。あとは、カードを物理的に盗まれて、かつ暗証番号の管理が不適切だった預金者だけが被害に遭うことになる。そのとき、50ドルルールのような制度ができていると、銀行が損をすることになるので、制度を押し付けられる前に早く、「キャッシュカードは安全です」という既成事実を作ってしまいたいところではないか。
それが見え透いているので、なにがなんでもキャッシュカードは危ないということにしなければならない、という動きがあるのは、まあ、わからなくもない。(加担はしたくないが。)
問題にするなら 4桁数字暗証の方だろう。これがそもそも安全でないのだということを認めさせて、預金者保護の制度を作るべきである。
クレジットカードやキャッシュカード等に記録された情報を不正に取得し、現金を引き出したり物品を購入する犯罪、スキミングの被害が拡大している。様々な方面で取り上げられ社会問題となっているようだが、リスクの実態があいまいなまま、憶測や噂に基づいた情報が蔓延..
>> http://takagi-hiromitsu.jp/diary/20050206.html FeliCaの暗号システムが安全だとは言わないが(知らないので)、住基カードのように、公開鍵暗号演算機能を搭載したICカードであれば、この番組で言われているような方法での複製はできない << 非接触ICカ..
blogエントリ「余暇の使い方」(2005/02/02)で書いたとおり、柳田邦男の「キャッシュカードが危ない」を読んだり、その後色々....
blog縺ф嶌縺上↓縺�d繧�凾譛溘r騾吾@縺溘′縲√く繝cャ繧激Η繧��繝峨�繧鴻く繝溘Φ繧違↓繧医k陲���◎縺��膈悶↓縺ゃ>縺�譛�裙ぇ磧辣畩蟋演仝紜�瓷磚ュ痾繚完磧諷瓱蟋営肅莅荳�魁磧奛盡紜峨燿腆髄�磴㊤禺礇蜴�紜㊤皸紕謳か絎開磚��...
昨日の夕方見たテレビで、銀行のキャッシュカードのスキ ミングについて報道されていた。カードを盗まれなくても、 口座から金が引き出されるケースがあるというのだ。 その手口はカードを偽造してしまうというものだった。 キャッシュカードを利用した際、ATMから出てく..
3週間ほど前に「マイルを貯めて旅行に行こう大計画」を立て
このブログに楽天バナーを貼り(マイルに換算できるのー!)
ANAの、Edy付きクレカを申し込んでいたワタクシですが、
今日やっと出来上がったクレジットカードが届きましたヽ( ・∀・)ノ
もうね、お財布の...
今日、ママリンと話していたらいつの間にかスキミングの話に移っていた。
スキミングね~。趣味悪いことする人がいるよね、全く。人のお金を盗るなんて最低だよ。しかもスキミング
日本国民として、今、知るべきニュースがある。 純日本人も、在日の方も、とりあえず知って然るべきことだ。 なんと、在日朝鮮人・韓国人に対して、「特権」があるという。 裏で囁かれていたのは知っていたが、実際に表に出るのは珍しいことだ。 しかし、TVでの放送は無い。..
