米国がカード詐欺との戦いを続ける中、伝説のハッカー、サミー・カムカー氏が作ったデバイスが決済カードの安全性に疑問を投げかけている。
「マグスプーフ」というニックネームが付けられたカムカー氏の装置は、米国の25セント硬貨ほどの大きさで、詐欺師にとってはまさに夢のような装置だと言っても過言ではない。
MagSpoofは、キャンセルされたカードの番号に基づいて、新しいアメリカン・エキスプレスカードの番号を予測できます。また、交換カードの申請日に基づいて、新しい有効期限を予測することもできます。
また、この技術は、詐欺を阻止するために設計された高度な暗号化機能を備えたマイクロチップ(チップ・アンド・ピンと呼ばれるシステム)が搭載されているはずのカードで支払いを受け付けるように販売時点情報管理装置を騙すこともできる。しかし、実際には搭載されていない。
カムカー氏は、交換カードの番号が、過去に持っていた他のアメックスカードと関連があるように見えることに気づいた。カムカー氏は、その番号の計算式を導き出し、最大40枚のカードと、彼の研究のために友人から共有された交換カードとを照合した。
「私の予測は100%当たった」とカムカー氏は火曜日の電話インタビューで述べた。カード生成アルゴリズムは「それほどランダムではない」。
計算をするには、古いカード番号と有効期限だけが必要だとカムカー氏は語った。
もちろん、危険なのは、古いカードの情報にアクセスできるサイバー犯罪者が、被害者が新しいカードを受け取る前にその番号を割り出してしまう可能性があることです。カードが有効になれば、詐欺師は買い物に出かけることができます。
アメリカン・エキスプレスの担当者は月曜日のコメント要請にすぐには応じなかった。カムカー氏は8月に通知したが、同社は大きな問題ではないと考えていると返答したという。
カムカー氏は、アメリカン・エキスプレスには不正使用を阻止できる可能性のある他の不正防止策が明らかにあるが、それがすべての不正購入を阻止できる保証はないと述べた。
MagSpoofに組み込まれている興味深い機能は、アメリカン・エキスプレスの番号予測機能だけではありません。Kamkar氏は、決済カードの裏面にある磁気ストライプについて徹底的な調査を行いました。
サミー・カムカー 酸化鉄の残渣から、クレジットカードの磁気ストライプがどのようにエンコードされているかが分かります。2 本の実線は「1」を表し、1 本のストライプの後にスペースが続くと「0」を表します。
同氏は、そのストライプに、カードが海外で使用可能かどうか、ATMで使用可能かどうか、チップとPINカードであるかどうかなどの情報を送信するために使用されるサービスコードが含まれていることを発見した。
米国の小売業者は、システムがアップグレードされていない場合、カード会社が詐欺行為に対する責任を一層問うようになったため、チップと暗証番号に対応するためにシステムをアップグレードしている。
EMVとも呼ばれるチップアンドピンは、ヨーロッパなどの地域で10年以上前から利用されています。この決済カードには、複製を困難にするセキュリティ機能が備わっており、取引の一部は暗号化マイクロチップによって承認されます。
カムカー氏によると、最近ではチップ対応カードを持っている人がターゲットに行ってカードの磁気ストライプをスワイプすると、POSシステムがサービスコードを見てそれがチップカードだと認識し、リーダーに挿入するように要求するようになるという。
「しかし、サービスコードを修正するか、同じデータでそのビットを反転した別の磁気ストライプを持つ新しいカードを作成すれば、チップのその要件を実質的に無効にできることを発見しました」と彼は語った。
カムカー氏はサービスコードを改ざんし、チップとPINによる取引であるべきところをカードをスワイプして購入できた。
「びっくりしました」と彼は言った。
それがターゲットかと問われると、カムカー氏は笑いながら「大手小売業者だ」と答えた。
カムカー氏はMagSpoofの回路図とソフトウェアを公開した。しかし、アメリカン・エキスプレスのカード番号を生成できる情報は公開していない。また、チップ&PINを無効化できるコードも公開していない。
MagSpoofは興味深い小型ハードウェアです。多数のクレジットカード番号を保存できます。カードの磁気ストライプによって生成される磁場をエミュレートし、磁気ストライプリーダーから最大5cm離れた場所からカード情報を投影できます。
カムカー氏は自身のブログで、MagSpoof は研究目的であり、使用を許可された決済カードでのみ使用すべきだと書いている。
