2018年05月15日 17時00分 セキュリティ

銀行カードやギフトカードなど「磁気カード」の偽造を見抜くための方法



プラスチック製のカードに貼られた磁気ストライプに情報を記録する「磁気カード」は銀行のキャッシュカードやクレジットカード、コンビニなどで売られているギフトカードなど広く使われています。しかし、近年は磁気ストライプの内容を自在に書きかえられる機器が簡単に手に入るようになっており、常に偽造の被害を受けるリスクにさらされているといえます。セキュリティ専門家のBrian Krebs氏は、フロリダ大学の研究チームが見いだした偽造カードを高精度で見抜く手法を紹介し、消費者が被害を受けないための方法を発信しています。



The Cards Aren’t Alright: Detecting Counterfeit Gift Cards Using Encoding Jitter

(PDF)https://www.cise.ufl.edu/~traynor/papers/scaife-sandp18.pdf



Detecting Cloned Cards at the ATM, Register — Krebs on Security

https://krebsonsecurity.com/2018/05/detecting-cloned-cards-at-the-atm-register/



銀行のキャッシュカードやクレジットカードには、よりセキュリティ性の高いICチップを埋め込んだカードが使われるようになっていますが、コンビニの店頭などで販売されているギフトカードは、磁気ストライプを使った磁気カードが使われています。この磁気ストライプの内容を読み取り、他人が購入した利用権(＝お金)を横から奪い取る行為が問題となっています。



By 401(K) 2012



このようなギフトカードでは多くの場合、ギフトカードは購入者がレジでお金を払い、さらに背面にあるスクラッチ部分を削ってPINコードを登録するまで利用できないようになっているのですが、この方策を回避する方法が存在しています。



それは、削ったらなくなってしまう「スクラッチ部分を新たに貼り付けること」と、「カードの状況をネットなどでモニタリングしておく」というもの。犯罪者は、店頭に置かれているギフトカードのシリアル番号とPINコードを入手し、PINコードを確認後にスクラッチ部分を貼り直し、元通りの場所へと戻します。すると、本当にギフトカードを求めてやって来た客は番号が盗まれたカードとは気づかずにレジで支払いを済ませてしまいます。





その後、犯罪者はギフトカードのシリアル番号を使ってネットにログインし、購入者が正規の手続きでギフトカードをアクティベートするタイミングを見計ります。実際にアクティベーションが行われたことが確認されると、犯罪者は事前に用意しておいた偽造カードを使い、本来の購入者がカードを実際に使う前に中身を使ってしまうという手法です。



この問題への対処策を研究したフロリダ大学の研究チームは、犯罪者が使う磁気書き込み装置には「書き込み精度の甘さ」がある点に着目しました。研究チームは磁気ストライプに記録された情報を可視化できる装置を使い、どの位置にどのような情報が記録されているのかを調査しました。





すると、以下のような画像が得られました。このカードの磁気ストライプには、1インチあたり210ビットの情報が保存できる「トラック1」と、同75ビットの「トラック2」があり、磁気のプラスが青色で、マイナスが赤色で示されています。





そして、正規のカードと偽造カードの記録状況を比較すると、明らかな違いが確認されたとのこと。正規カード(上段)で各ビットが記録されている物理的な距離は320μm程度であまりバラツキが見られなかったのですが、偽造カード(下段)ではその距離が350μm程度となっており、バラツキも多めになっていることがわかっています。





カード全体でのビット間距離のバラツキを表しているのが以下のグラフ。緑色の正規カードはグラフの線が320μmあたりに集中して振れ幅も少ないのに対し、偽造カードのグラフは正規カードよりも数値が大きく、さらにグラフの上下も激しくなっており、記録の精度が甘い状態になっていることが示されています。





研究チームによると、この結果をもとにした偽造判定装置はほぼ100パーセントの確率で偽造カードを見抜くことが可能であるとのこと。銀行や小売業界に光明をもたらしそうな結果ですが、実は業界関係者はあまりこの分野に注力することに意欲的ではないという、驚きの状況が判明しています。



その理由は、すでにカードの世界ではICカードの普及が進んできているという状況にあります。高いセキュリティ性を備えたICカードが存在する状況で、昔ながらの磁気カードに今から投資を行うことに対する抵抗感を誰もが抱いており、ATMなどに偽造判定機を設置するコストを負担することに乗り気な人はほとんど存在していない模様。



一方、ギフトカードをICカード化することについては、コスト的な問題が存在します。ICカードを作成するためには1枚あたり2～3ドル(約220円～330円)のコストがかかるといわれており、そのコストは最終的にカードの販売価格に転嫁されます。「1000円カード」を1300円のお金を出して購入するというのは誰にとっても受け入れられるものではないため、ギフトカードにICカードが導入されることはまずあり得ないと見られています。



By Cheon Fong Liew



どうやら、旧来の磁気カードを使ったギフトカードに高いセキュリティ性を持つ仕組みが取り入れられることは期待薄な状況。とはいえ、このような偽造カードを使ったギフトカード詐欺の影響を受けるのは一般消費者です。被害に遭わないために、Krebs氏は以下の点を注意すべきであると記しています。



・可能な場合は、ギフトカードを発行している店やレストランから直接カードを購入する

・ウェブから転売のカードを買う場合は、購入者のレビューを確認して悪評価のない相手を選ぶ

・ギフトカードの購入前後で残金を確認しておかしな状況がないかを確認する

・転売されたギフトカードの残金を保証するのは、カードに記載されている企業ではなく販売業者である。もし詐欺の被害にあった場合、場合によっては企業から返金を受けられることもあるので、期待半分で連絡してみるのも有効。

・ギフトカードをネットで売る場合、購入者からの入金が確認できるまではPINコードを教えてはならない

・ギフトカードをネットで買う場合、大幅な割引きやセット販売を行っている業者に対しては警戒すべき



・おまけ

以下の記事では、クレジットカードの磁気ストライプやハードディスクにどのように情報が記録されているのかを簡単な方法で可視化できる様子を読むことができます。



クレジットカードの磁気ストライプで楽しむサイエンス - GIGAZINE

