レストランで、深い会話を楽しんでいます。ふと、ウェイターがクレジットカードを受け取り、数分後にサイン用の伝票を持って戻ってくるのを目にします。特に気に留めないでいると、数時間後、銀行から電話がかかってきます。誰かがあなたのクレジットカードで多額の借金をしており、そのほとんどが家電製品の購入によるものだと。まさか、あなたではないですよね?
スキミングは、ハイテクを駆使した金融詐欺の一種で、世界中で増加傾向にあります。高度なデータ読み取り機器を用いて、クレジットカードやデビットカードの磁気ストライプ情報をコピーします。クレジットカード番号と暗証番号の両方を盗み取ることができます。しかも、レストランだけでなく、近所のガソリンスタンドやATMでも発生しています。
ハイテク盗難
今日では、犯罪者はATMの既存のカードスロットに磁気ストライプリーダーを差し込むか、POS端末を交換するだけで済みます。クレジットカードを差し込むと、まずスキミング装置が読み取り、次にカードリーダーが読み取ります。これで取引は予定通りに進みます。しかし今や、犯罪者はあなたが気付かないうちに、カードデータの正確なコピーを手に入れているのです。
従来のカードスキミング装置は、犯罪者が定期的に現場に戻って情報を収集する必要があり、発見されるリスクがありました。しかし、最新のスキミング装置は、Bluetooth(通信範囲が狭い)またはGSM携帯電話を介して、カード情報を窃盗犯に送信できます。これにより、近くの車内や地球の裏側にある建物内にいる窃盗犯は、口座保有者が購入や引き出しを行う瞬間に、口座番号をリアルタイムで取得することが可能になります。
給油時に支払う
ガソリンスタンドは、おそらく最も脆弱な拠点でしょう。今日のポンプは大部分が自動化されており、無人であることも多いため、犯罪者が深夜にスキミング装置を仕掛ける絶好の機会となっています。コロラド州グランドジャンクションでは、整備作業員が3台のガソリンスタンド内にスキミング装置を発見しました。また、2010年には、法執行機関の捜査により、ソルトレイクシティからユタ州プロボに至る180のガソリンスタンドのポンプ内にスキマーが仕掛けられていたことが判明しました。ユタ州サンディのある客は、事件後に地元テレビ局の取材に対し、「偽物と本物の区別がつかないので、カードは偽物に差し込みます」と語りました。
2009年、アリゾナ州ではスキミング攻撃が頻発したため、州知事は州警察の警官に主要高速道路沿いのガソリンスタンドを検査するよう命じた。
ATMも問題あり
ATMが脆弱な理由はガソリンスタンドと同じで、無人であることも理由の一つです。犯罪組織はヨーロッパ各地のATMを標的にしており、アメリカの主要都市にも攻撃を仕掛け始めています。Black Hat USA 2008でのプレゼンテーションで、セキュリティ研究者のNitesh Dhanjani氏とBilly Rios氏は、現在市場に出回っているあらゆるATMの色に合うように、あらゆる色のプラスチック製のATMカードリーダーとキーボードがぎっしり詰まった倉庫の写真を公開しました。
この脅威に対応するため、南アフリカの Absa 銀行は、スキミング被害が最も多かった ATM 11 台に催涙スプレーによる改ざん防止システムを追加する実験を行ったが、残念ながら、機械のメンテナンス作業員がスプレーを作動させてしまうこともあった。
とらえどころのないPIN
クレジットカードデータの収集は、口座番号を盗むという比較的簡単な作業です。しかし、デビットカードは窃盗犯にとってさらに魅力的です。なぜなら、口座保有者に気づかれることなく、迅速かつ完全に銀行口座を盗み取ることができるからです。カード会社はクレジットカードの利用状況を監視しており、厳格なリスクおよび詐欺防止ポリシーを整備しています。一方、デビットカードは銀行口座に直接紐付けられていますが、デビットカードの暗証番号を取得するのはやや困難です。
PINを盗む最も一般的なハイテクな方法は、魚眼レンズに埋め込まれた小型カメラと、キーボードに重ねられた電子メッシュを使うことです。犯罪者はこうしたカメラの取り付けや取り外しの際に逮捕されることが多いのですが、最近では、より目立たない方法でPINを盗む方法も発見されています。
PINは4桁または6桁の数字です。PINを入力すると、ATMやPOSのソフトウェアが自動的にそれをハッシュと呼ばれる一方向アルゴリズムに変換します。その後、誰かがデータストリームをキャプチャしても、元の4桁または6桁の数字ではなく、ハッシュ値しか見えません。ハッシュ化されたPINは、それ自体では役に立たない数字列です。デビットカードや銀行ネットワーク内のデータベースに記載されているハッシュ化されたPINをそのまま入力することはできません。なぜなら、それらの数字が別の値に変換されてしまうからです。代わりに、ハッシュ値を生成する方法を見つける必要がありますが、最近までそれは現実的ではありませんでした。
2008年、FBIはマンハッタンで発生した一連の犯罪において、攻撃者がシティバンクの口座保有者の暗証番号を使用していたことを明らかにしました。FBIの文書によると、攻撃者はデータ侵害でPINデータを発見し、使用されたアルゴリズムを分析・復号した後、そのアルゴリズムが生成する可能性のある4桁および6桁のPINコードをすべて網羅した表を作成しました。これは暗号学ではレインボーテーブルと呼ばれます。犯罪者は口座保有者のPINコードを正確に一致させる必要はなく、同じハッシュ値を生成する4桁または6桁の数字さえあればよかったのです。
ロイヤル・バンク・オブ・スコットランド
たとえ犯罪者が暗号化されたハッシュ値を再現できたとしても、銀行ネットワーク内の誰かが値を調整しない限り、1回の取引または一定期間内に一定額を超える金額を引き出すことはできません。これは2008年11月8日に発生しました。犯罪者集団がロイヤル・バンク・オブ・スコットランド・グループの米国決済処理部門であるRBSワールドペイを内外から強盗したのです。12時間以内に、彼らは世界230都市のATMから推定940万ドルを引き出しました。一方、内部の別の人物は、個々の口座の1日あたりの引き出し限度額を引き上げ、あるケースでは50万ドルにまで引き上げました。
エストニア人の容疑者1人は2010年8月に米国に身柄を引き渡された。もう一人の容疑者、28歳のヴィクトル・プレシュチュクは翌月、ロシアの裁判所から4年間の保護観察処分を受けた。名前が明らかにされていない3人目の容疑者は依然として逃亡中である。
ATMで自分を守る
2008年の攻撃以降、銀行やクレジットカード会社はバックエンドのセキュリティシステムを大幅に強化しました。ATMメーカーは現在、最新技術を導入し、より優れたデータ保護を提供しています。例えば、プライバシーフィルターは、斜めから見るとATM画面がぼやけるようにすることで、肩越しの盗聴を防止します。一部のATMでは、スパイカメラによる暗証番号の盗聴を防ぐためにキーボードを沈めたり、スキマーによる読み取りを防ぐために挿入カードを揺らしたりしています。
それでも、ATMに立っている際に、機械が不正アクセスされている疑いがある場合は、そのATMを使用しないでください。カード挿入口を指で触って、何かが緩んでいないか、何かが合っていないか確認してみてください。もしそうであれば、銀行に報告し、別のATMで取引を行ってください。
販売時点における安全性
POS端末での不正利用は、特にガソリンスタンドでは検知が非常に困難です。ガソリン代の支払いには、デビットカードではなくクレジットカードを使用するのが最も安全です。カード会社は不正利用を迅速に検知し、阻止します。クレジットカード利用者は多くの場合、ゼロ・ライアビリティ・プログラムの適用を受けますが、デビットカードの場合は、銀行によっては適用されない場合があります。
スキミングは最新の詐欺に過ぎません。情報が広まり、決済・ATM業界が賢くなれば、犯罪者は次の手に移るでしょう。それまでは、購入者、あるいはカード利用者は注意が必要です。
さらに詳しく…
• 「21世紀のクレジットカード」
• 「安全なホリデーショッピングのための5つのヒント」
• 「他人の個人情報を盗むとはどういうことか」
