クレジットカードの磁気ストライプをハックするプログラムがリリース

ChaP.pyを使えば、Europay、MasterCard、VISAが開発した規格を使っているカードから機密情報を盗むことができる。

» 2008年02月22日 11時55分 公開
[Ryan Naraine,eWEEK]
eWEEK

 クレジットカードの磁気ストライプに格納されている個人を識別可能な情報を、ハッカーは軽量ツールを使って容易にハッキングできる。RFIDセキュリティの大家アダム・ローリー氏がこのような警告を発した。

 Black Hat DCブリーフィングで、同氏はEMV規格を使っているチップとPIN(暗証番号)方式クレジットカードを読み取るためのプログラム「ChaP.py」のリリースを発表した。

 EMVとは、クレジット決済とデビッド決済の認証を処理する規格。開発した3社(Europay、MasterCard、VISA)にちなんで名付けられた。

 英Bunker Secure Hostingのチーフセキュリティオフィサー兼ディレクターとして働くローリー氏は、RFIDデバイスをスキャンするためのオープンソースPythonライブラリ「RFIDIOt」にChaP.pyを組み込む計画だ。

 初期版のChaP.pyはPC/SCリーダーにのみ対応すると、同氏はBlack Hatのデモで語った。しかし、これは物理的なチップもRFIDインタフェースもサポートする。つまり(非接触ICを使っている)AmEx ExpresspayもMasterCardのPayPassも簡単にハッキングできるということだ。

 同氏は、ChaP.pyはカード所有者の氏名や主要口座番号、その他口座の識別情報などの磁気ストライプ内の機密情報を乗っ取るのに使えると説明した。

 このデータがあれば、攻撃者は既存ツールを使ってハッキングしたクレジットカードのクローンを作ることができると同氏は語った。

Editorial items that were originally published in the U.S. Edition of “eWEEK” are the copyrighted property of Ziff Davis Enterprise Inc. Copyright (c) 2011. All Rights Reserved.

注目のテーマ