このところ,連日のように報道される偽造キャッシュ・カードでの不正引出し事件。実に憂鬱な話である。しかも,ロッカーのマスター・キーを犯罪者に渡して手引きをしていた疑いでゴルフ場の支配人が逮捕されるに至り,まさに,この世の中,何を信じて生活していけばよいか見当もつかない状態となってきている。
2月上旬にはUFJカードが,フィッシング(phishing,用語解説)と思われる手法によって個人情報が詐取され,その結果,偽造カードが作られて不正使用されてしまったと公表した(関連記事)。しかし,そこで疑問がふつふつと湧いてきた。フィッシングだけで偽造カードが作られてしまうほど,クレジット・カードは単純な仕組みしか持っていないのだろうか?
簡単なカード情報の抜き取り
群馬県富岡市のゴルフ場「レイクウッドゴルフクラブ富岡コース」などのロッカー・ルームで起きた事件を整理しておこう。犯人グループは支配人から受け取った貴重品ロッカーのマスター・キーから合い鍵を作り,お客のセーフティ・ボックスから一時的にカードを盗み出し,カードの情報を小さな磁気カード・リーダーを用いて読み出し(スキミング)していたというもの。
こうしてカード情報が抜き出されてしまうと,この情報を別のカードに上書きして,簡単に偽造カードが作られてしまう。既に使われなくなった古いカードや盗難カード,偽造のためにプラスチック板に磁気ストライプをはった空白カードなどが使われた。
では,肝心の暗証番号はどう盗み出されてしまったのか? こうしたロッカー・ルームでは,マスター・キーを使うとローカーの番号と暗証番号が印字される仕組みとなっているところもあったのだという。この仕組み自体は異様なものではない。お客がロッカー・ルームに施した暗証番号を忘れてしまったような場合に,緊急避難的に解除する仕組みを用意しておかなければならないからだ。
利用者はこうしたロッカーに暗証番号で鍵をかけるとき,覚えやすいようにいつも銀行カードなどで使っている暗証番号を流用する人が多かったようだ。こうして,犯人グループはいとも簡単にカード情報と暗証番号をペアで盗み出していたと見られている。
フィッシングによる情報の詐取
最近はフィッシングの手口も巧妙化して,インターネットに慣れたユーザーでもつい引っかかってしまうものが多くなってきている。アドレス・バーの表示をいかにもそれらしい記述になるよう上書きしたり(関連記事),DNSサーバに虚偽の情報をキャッシュさせるといった手法(関連記事)まで登場してきているという。
しかし,フィッシング・サイトに導かれ,うかつにもカード番号,登録者名,有効期限,暗証番号などを盗み出されたとしても,それだけの情報だけで偽造クレジット・カードを作り出すのは極めて難しい。UFJカードは「『フィッシング詐欺』により不正に収集したカード情報に基づいて作成されたものと思われる」と発表しているが,それだけの情報で偽造カードが作れるわけではない。
不正利用ができるカードを作るためには,上記の暗証番号などの情報に加え,カード会社が独自に設定するセキュリティ・コードが正確に書き込まれていなければならない。このセキュリティ・コードは単純に「カード番号,登録者名,有効期限」から算出できるようなものでもない。ちなみに,暗証番号はそもそもカードには書き込まれておらず,偽造カード作りとは別問題だ。
UFJカードの築山宗彦執行役員企画部長によると,同社は偽造カードを作られたと思われる38人すべてに聞き取り調査を行った。調査の結果,被害者は,確かにそれらしいメールを受け取り,Webサイトに導かれて,要求された情報を入力した覚えがあるという。しかし,そのフィッシング・メールがどんなものだったのかは一切入手できなかったそうだ。
これではどんな手法でどこに誘導され,どんな情報を盗み取られたのかは特定できないが,「一定の判断でフィッシングであろうと思われる」(築山部長)という。全員がメールを保管していなかったのは偶然なのかもしれないが,再発防止のための原因を究明することができなくなってしまって残念としか言いようがない。
なお,今回偽造カードを作られたと思われる38人についてはすべて新しいカードを発行し直したという。
