「実生活」におけるクレジットカードのセキュリティ

何かとHTTPSが話題になり、オンラインではクレジットカードやデビットカードに気を付けようと言われています。しかし、オフラインならカードは安全ということはありません。私は自分以外の誰かの考えを代弁することはできませんが、確信を持って言えることがあります。多くの人は、食料品店やレストラン、ガソリンスタンドに行ったときに、一度も会ったことがない人や見たこともない人に、喜んでクレジットカードを差し出しています。正式なPOS端末っぽく見える機械の側に立っているというだけで、無意識のうちに全くの他人を信頼しているのです。

私は大学を卒業してから、コンピューターセキュリティの記事を書くようになるまで、バーテンダーとして働いていました。ネットワークセキュリティの知識はないに等しく、セキュリティについて考えたこともありませんでした。ウイルスとは何なのか、どんな仕組みなのか、なぜウイルスを作る人がいるのか、まったく知りませんでしたが、よく壊れる古いMicrosoft製POSが悪夢だということを理解するだけの知識はありました。今でも、POSにクレジットカードを通した後に何が起きているのか、100%把握しているわけではありません。しかし、とても頻繁に壊れるので、POSの「エンドツーエンド」（今ではそう呼ばれていることを知っています）の完全性に疑問を持つようになりました（ここでのエンドツーエンドは、消費者から小売業者へ、そしてクレジットカード会社や銀行へ、その間にあるすべてのもの）。

もっと心配になるかもしれませんが、POSが何度も何度も壊れたので、Samという少年を呼ぶことにしました。16歳のSamは地元の高校に通うハッカーで、コンピューター愛好家です。腰まで伸びた金髪をしていて、どういうわけか、それが当時かっこいいと思っていたのでしょうが、ステッキを持っていました。Samは夜の間ずっと来て（なにしろバーですから）、POSを「修理」してくれました。POSの直し方を知っていたのは、Samと、その悪友でバーのサンドイッチ作りを担当していたJesseだけだったのです（が、Jesseは酒を盗んだのでクビにしました）。

この2人のどちらかが悪意を持ってPOSをいじっていたとか、手抜きされた部分があったとか、そういうことを言いたいわけではありません。実際、とても評判のいいレストランでしたし、私の記憶が正しければ、Samはジョージタウン大でコンピューターサイエンスを修了し、Jesseはやんちゃな少年時代を経てとても立派な大人になりました。これが基準というわけではないのでしょうが、お店の裏側で何が起きているかはわからないという話です。

しかし現実問題として、プラスチックのカードに印刷された瞬間から、ハサミでまっぷたつにする運命の日を迎えるまで、支払いデータの安全を保証するためにできることはあるのでしょうか。鉛の財布を使えと冗談を言う人や、簡単にすられないようにポケットの中のポケットに財布を入れることから始めろという人もいましたが、バックポケットにボタンをつければスリから守れるという意見には同意できません。ボタンでとめたポケットから気づかれないように財布を抜くには、指を非常に素早く動かす必要がありますが。

ポケットから財布を抜く話はさておき、カードを差し出す相手は慎重に見極めたいものです。以前、マサチューセッツ州ボストンで、髪をいい具合に切ってもらったことがありました。フレンドリーな美容師に、クレジットカードで払えるか聞いたところ、できないとの回答でしたが、妹が近所でギフトショップをやっていると言われました。電話で妹にカード番号を伝えるので、妹の店宛の請求にしてくれれば、後で妹から現金をもらうと言うのです。丁重にお断りしました。

これも珍しいケースだと思いますが、要は、カード番号を書き留めるとか、古いスライドマシーンで送るという人には、現金で支払う方がいいということです。

ここまでATMに触れていませんでしたね。本当にゾッとするような体験をしてみたいという人は、セキュリティジャーナリストのニュースサイトを読んでみるといいでしょう。中でもATMスキマーのエキスパートBrian Krebs氏のサイトはおすすめです。ありがたいことに、Krebs氏は単に恐い思いをさせたり惑わせたりしているわけではなく、素晴らしいリソースページも持っており、スキミングの装置や仕組みの説明を画像付きで紹介しています。

ちなみに、ATMスキマーという言葉は、入力されたクレジットカードデータを盗むためにATMに取り付けられた装置や部品を指します。POS端末や給油ポンプの脇のクレジットカードキーボードに取り付けられる同様のスキマーと、あらゆる意味で同じです。スキマーは現実世界における中間者攻撃のようなものです。こうしたスキマーの仕組みの技術的な詳細については、Krebs on Securityをご覧ください。

POS端末をハッキングした人物や、スキマーをATMに取り付けた人物がうまくやっていたなら、データ漏えいに関する恐ろしい通知が手紙で（あるいはメールで）届くまで、そのような人物がいたことにさえ絶対に気が付かないでしょう。しかし、犯罪者も人間なので、手を抜くこともあります。カードを通す前にPOS端末を見てみてください。特にATMには注意しましょう。繰り返しますが、ATMを分解でもしない限り、ほとんどのスキマーの存在に気づけないでしょうが、それでも私はATMをチェックするようにしています。キーボードのケースをいじくりまわして、しっかり取り付けられているかを確認します。キーボードを見落としたとしても、画面の周りや画面の下を調べて、全体を見回して何もなくなっていないことを確かめます。また、カメラにも注意しましょう。最近のカメラは非常に小さくなったので、言うほど簡単なことではありませんが。すべてのATMにカメラがついているはずですが、カメラは利用者の顔を写すものであって、キーボードを写すものではありません。私は通りにあるATMを使ったことはありませんし、見えにくい場所のATMは避けるようにしています。信用できそうな人が常に簡単に監視できる場所にないATMは使わないということです。一番安全なのは銀行のATMでしょう。少なくとも理論的には、銀行職員はスキマーについて知っているはずですし、スキマーを見つける方法もわかっているはずだからです。これも仮説に基づいた問題の1つではありません。Krebs氏によれば、米国シークレットサービスは、2008年にATMスキマーによって盗まれた金額が10億ドルにのぼると発表しています。この数字は、今ではもっと大きくなっているはずです。

POSのハッキングはさらに巧妙です。ケースに傷がなく、手を加えられていないことを確認する価値は確かにありますが、支払いデータを保存して送信する機械が改ざんされている可能性の方が高いのです。こういうものの安全はエンドツーエンドで確保する必要がありますが、そうなると守るべき場所が非常に多くなります（繰り返しますが、カードを手渡してからお金を集める人まで、すべてにわたってです）。しかし、あるセキュリティエキスパートから、こんな話を聞きました。それっぽい制服を着た犯罪者が、とある小売店舗の何も知らない従業員に、POSシステムの修理に来たと言ったそうです。彼らは何も修理することなく、実際にはスキマーを取り付けて帰って行きました。本当にあった話なのか、確かなことはわかりませんが、突拍子のない話とは思えません。

トランプのポーカーのようなものだとも考えてみるのもいいでしょう。手をできるだけ服に近づけてプレイしたいと思いますよね。カードをその辺に置いておくことは、デビットカードの写真をオンラインに投稿するのと大差ありません。そんなわけで、デビットカードはなるべく使わないようにしましょう。機会があれば、デビットカードがクレジットに請求されるように選択してください。こうしておけば、スキミングされたとしても、少なくとも犯罪者に暗証番号を盗まれることはありません。

最後になりますが、今回紹介した内容の多くは自分にとって専門外だという人にも、防衛手段はあります。いつもしているように、銀行口座とクレジットカードの残高には注意しましょう。銀行によってはATMの引き落とし額に上限を設定できるので、何者かにスキミングされた場合も、盗まれる現金を少なくすることができます。また、できれば別の銀行の違う種類のクレジットカードやデビットカードをいくつか使うのもいいでしょう。考えてみてください。上限額なしのAmerican Expressのブラックカードがスキミングされるのと、1,000ドルの上限付きの別のカードがスキミングされるのは、どちらがいいでしょうか？デビットカードにも同じことが言えます。私は貯蓄をしている口座につながったデビットカードを持ち歩きたくありません。