「スキミング防止カード」の今はどうなっているの?:萩原栄幸が斬る! IT時事刻々(2/2 ページ)
スキミング防止カードの実力
この事件をきっかけに販売されるようになったのが、「スキミング防止カード」とか「スキミング対策カード」と呼ばれるグッズだ。カードと一緒に保管しておけばスキミング行為ができない(電磁波を遮断する)ので防止策の1つになるというわけだ。当時はかなりの人気だったと記憶している。販促品として配布している企業があり、中には名刺そのものがスキミング防止カードになっているIT企業もあった。筆者は購入したことはないが、多方面から10枚以上もらった。今も3枚ほどある。
この時に筆者は、「このカードは本当に持ち歩くべきなのか」と素朴な疑問を持った。考えればすぐに分かるが、それまでに起きたスキミング事件は、全てカードは本人の手元を離れていた状態で発生していたのである。前段で紹介した事件以外にも、銀行のATMの上部や横から盗撮カメラで番号を盗み撮りしたもの、店ぐるみで関与した事件、有名ホテルで正規のカードリーダーの中にスキミング装置が仕込まれていたケースもある。
窃盗犯なら、財布からカードを引き抜けばいいのである。「スキミング防止カード」とは、どう使えば効果があるのか――。実際の事件をみれば当然だが、これでは全く防ぐことができないのだ。
そもそも、電車の中や街頭といった場所で、標的の人物に近づくだけで情報を盗み取ることができるのだろうか。それは不可能に近い。財布の中に少ない人でも数枚のカードがしまわれている。多ければ10枚以上もある。そのような状況で、狙うカードをどう特定するのか。また、携帯型スキマーでスキミングするという方法では、さまざまなものが入っているかばんの中の財布の、さらにその中のカードを標的にするには、実際には障害物が多すぎてスキミングが極めて難しいのである。
当時、警察関係者にも尋ねたが、日本ではこういう状況でスキミングされて、窃盗にあったと確証された例は、知り得る限りではなかった。外国では事情がいろいろと異なるので比較できない。
こういう事件が発生すると、NHKや民放で、自称「情報セキュリティの専門家」という人々の一部は、その恐ろしさを実験で再現し、視聴者の不安をあおりはじめた。
「非接触型ICカードも危ない」とか、「銀行内部にあるATMでも回線を盗聴して暗証番号を読み取る」とかいうケースもあった。ここまでくると、“本当の有識者”はあまりに可笑しすぎて指摘する気も起きない。例えば、FeliCaのようなシステムにおいてはカードと外部装置との間で通信を行うから、そこで盗み見できる情報は必ず存在する。しかし、このようなシステムを開発した側からすれば、それは想定の範囲内なのだ。もちろん、本当に保護すべき重要なところはガチガチに暗号化されている。
銀行ATMで暗証番号が平文(暗号化されていないそのまま入力した文字)のまま回線上に流れることは、国内ではあり得ない(外国は不明だが)。つまり見られる可能性がある部分は、それはそれで全く構わないと考えての仕組みである。
知ってほしい事実
数年前までテレビで盛んに行われていた実証実験のほとんどは、実際の環境とは異なるので論理的な意味はないのである。単純に視聴者の不安をあおり、世界中のコンピュータシステムがすぐにでも崩壊してしまうような誤解を与えてしまったにすぎない。技術の世界なので、もちろん、犯罪者と「いたちごっこ」の部分もあるが、まともな技術者同士が切磋琢磨して新しい世界に向かっていこうと絶えず努力している。情報セキュリティの“専門家”と称する人は、もっと冷静に理論に基づいて、コンピュータの「危ない」部分と「安心」な部分をきちんと切り分けて発言してほしいものである。
筆者はスキミング防止カードに意味がないとは言わない。ただ、このカードが想定している手口の犯罪は、日本国内の認知件数は1件も発生していないと思われる(全て調べきれてはいないため、誤りがあればご指摘いただきたい)。
ここで述べる「このカードで想定している犯罪」とは、明らかにかばんやズボンの中にあるカードを狙って、犯罪者が混雑した電車の中や雑踏の道路上でスキミングし、預金口座からスキミングした情報を基に窃盗した事象である。「認知」とはこうした事実が発生したことを警察関係者がきちんと認めていることだ。原則として疑わしい事案ではあっても、結果的に「勘違い」や「思い込み」であったものがほとんどだという。
結論として、スキミング防止カードはいまだ発生していない犯罪が発生することを見越した対策となる。確率的には、「宝くじで1億円が当たる」よりはるかに低いくらい、ほぼゼロに等しいものだ。論理的には無視しても構わない事象といえよう。
萩原栄幸
一般社団法人「情報セキュリティ相談センター」事務局長、社団法人コンピュータソフトウェア著作権協会技術顧問、ネット情報セキュリティ研究会相談役、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少(当時)で合格した実績も持つ。
情報セキュリティに関する講演や執筆を精力的にこなし、一般企業へも顧問やコンサルタント(システムエンジニアおよび情報セキュリティ一般など多岐に渡る実践的指導で有名)として活躍中。「個人情報はこうして盗まれる」(KK ベストセラーズ)や「デジタル・フォレンジック辞典」(日科技連出版)など著書多数。
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 爆売れだった「ノートPC」が早くも旧世代の現実
- VPNやSSHを狙ったブルートフォース攻撃が増加中 対象となる製品は?
- HOYAに1000万ドル要求か サイバー犯罪グループの関与を仏メディアが報道
- ランサムウェアに通用しない“名ばかりバックアップ”になっていませんか?
- PHPやRust、Node.jsなどで引数処理の脆弱性を確認 急ぎ対応を
- 生成AIは検索エンジンではない 当たり前のようで、意識すると変わること
- GoogleやMetaは“やる気なし”? サポート詐欺から自力で身を守る方法
- 「Gemini」でBigQuery、Lookerはどう変わる? 新機能の詳細と利用方法
- 攻撃者が日本で最も悪用しているアプリは何か? 最新調査から見えた傾向
- PAN-OSにCVSS v4.0「10.0」の脆弱性 特定の条件で悪用が可能に
ITmediaはアイティメディア株式会社の登録商標です。