コンビニATMの不正引き出し事件で確認すべき事実と注意点：ハギーのデジタル道しるべ（3/3 ページ）

[萩原栄幸，ITmedia]

セキュリティの落とし穴

　さて、角度を変えてこの事件から浮かぶ点もいくつか挙げたい。その1つは、悪用されたカードの「暗証番号が同じだった」ということだ。犯人は手順書に記載された暗証番号を入力するだけだったので、もしかすると勘違いしているかもあるが、もし本当に暗証番号が同じであるなら、これは非常に怖い。

ICカード型なら万全の安心？（写真はイメージです）

　さらに、磁気ストライプ型が脆弱として欧州を中心に普及しているチップアンドピン方式のICカード型なら安全か、という視点もある。

　実はこれも、既に安全ではない。もう破られており、2015年10月19日のWIRED記事「X-RAY SCANS EXPOSE AN INGENIOUS CHIP-AND-PIN CARD HACK」（関連リンク）でも指摘されている。

　要は正規のICチップ上に偽造したチップを搭載させる方法だ。そのチップはどんなPIN（暗証番号）でも通ってしまう回路になっている。犯罪者はこの偽造チップを搭載し、セキュリティを突破して現金を盗むことができるという。これにより、日本円で約8000万円もの被害が報告されている。

　これからは今まで以上にカード類について注意しなければならないのは無論だが、ネットバンキングでも最近ではワンタイムパスワードをかい潜るウイルスが発見されるなど、さまざまな新種が出回っており、金融機関もその対応に追われている。

　まさに“いたちごっこ”の様相だが、利用者は少しでも安全・安心で、リスクが少ない方向へ自分たちの身を守るしかない。まさに利便性とリスクのバランスをどうとるのかが、個人レベルで求められているのではないだろうか。

萩原栄幸

日本セキュリティ・マネジメント学会常任理事、「先端技術・情報犯罪とセキュリティ研究会」主査。社団法人コンピュータソフトウェア著作権協会技術顧問、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少（当時）で合格。2008年6月まで三菱東京UFJ銀行に勤務、実験室「テクノ巣」の責任者を務める。

組織内部犯罪やネット犯罪、コンプライアンス、情報セキュリティ、クラウド、スマホ、BYODなどをテーマに講演、執筆、コンサルティングと幅広く活躍中。「個人情報はこうして盗まれる」（KK ベストセラーズ）や「デジタル・フォレンジック辞典」（日科技連出版）など著書多数。