2015年1月23日

カードの不正利用:ATMを狙った犯罪ビジネスの今

セキュリティ

スリに注意しなければならないのは、誰でも知っています。子供のころ「出かけたときはポケットに注意するように」と教わらなかったとしても、こうした単純なルールを学ぶ機会が人生にはあるものです。ハッカーについても同じです。現在、インターネットでのハッカーの活動はあちこちで報道されており、子供でも知っています。

ATM

その一方で、まだあまり知られていないのが、スキミング詐欺師です。残念ながら、彼らの魔の手に堕ちるリスクはかなり高いと言ってよいでしょう。このカード詐欺師たちは、小型で発見されにくい装置をATMに仕込み、カード情報を盗み出すことを専門にしています。警察、銀行、決済システム業者が連携して対処に取り組んではいますが、口座から盗まれた現金の総額は増え続けています。

スキミング詐欺師は、手を使うという点でスリに似ています。また、ハイテクやPCを駆使しなければ成り立たないという点でハッキングにも似ています。

彼らの標的になる条件は、ATMからカードで現金を下ろすことだけ。カードにICチップが付いていないなら、あなたの状況はいっそう悪く、犯罪者にとっては好都合になります。ICチップ非対応のカードの方が、ずっと簡単に金銭を奪えるからです。スキミング詐欺に引っかかるリスクをさらに高めたいなら、路上で見かけたATMにカードを入れたり、暗証番号を堂々と見せながら入力したりすれば、一発です。スキミング詐欺師から大変感謝されるでしょう。

atm_1

真面目な話、この不正ビジネスはここ数年で成長し、進化を遂げています。基本的なことは何も変わりません。利用者に気付かれないように、磁気カードからデータを読み取り、暗証番号を調べ、カードのコピーを作って、口座からできるだけ多くの現金を引き出すという手法です。ただし、データを盗み出す技術は大幅に進化しています。

あくまでもビジネス

これまでのスキミング詐欺師は、手作りのカードリーダーを用意し、その不格好な装置をATMのカード挿入口に取り付け、データを手動で抽出しているところを現行犯で逮捕されるリスクを負っていました。しかし、時代は変わりました。スキミング業界は進化し、手作りのカードリーダーにこだわる詐欺師はもういません。現在のスキミング詐欺は組織化され、プロセスも高度に自動化されています。

プロセスの最初の段階に関わるのは、装置の製造業者と販売業者です。装置は市場に大量に出回っている部品から作られ、そのまますぐに使えるようになっています。取引はオンライン上で行われ、商品は宅配便で送られます。犯罪者にとって最も安全なやり方です。

スキミング装置がどれだけ広く出回っているかは、検索エンジンで調べればすぐにわかります。プラスチックのカードからデータを抽出するための偽装リーダー、暗証番号を読み取るための偽装パネル、対応するソフトウェアがバンドルされたコピー作成デバイスなどが入ったキットは、1,500~2,000ドル程度で販売されています。情報セキュリティのエキスパートであるブライアン・クレブス(Brian Krebbs)氏によると、数年前であれば、こうした製品は1万ドルもする高価なものだったそうです。

スキミング用キットは、プロのハッカーでなくても、購入して使うことができます。詳細なマニュアルが入っており、ものによっては「ベストプラクティス」の項目まであります。手順は詳しく書かれており、リーダーのバッテリーをできる限り長持ちさせるための正しいバッテリーの使い方まで記載されています!

驚くべき技術

スキミングの技術は、膨大な需要と結びつきながら進化を遂げ、犯罪に利用される電子部品の進化を加速させました。セキュリティの専門家は、ATMに不審な点がないか点検するように促していますが、こうした呼びかけも意味をなさなくなっています。

そもそも、経験豊富な犯罪業者は、正規のATM部品とほとんど区別のつかない装置を販売しています。慎重な人であっても、見分けられないほどです。偽のカード挿入トレイは正規品と同種のプラスチックや色で作られており、形状もわずかに異なる程度です。

skimmer-2

これは、多数の取引先を抱える大手銀行で広く利用されているATMモデルの部品を意図的に改造しているためです。もちろん銀行側も、対抗策として対スキミング技術を導入しています。

また、挿入トレイからATMの内部に埋め込まれたリーダーもあります。この新しい手法は、非営利団体であるEuropean ATM Security Teamの最近のレポートで紹介されました。さらにひどいことに、磁気カードの読み取りすらせず、ATM自体のコンピューティングリソースを使ってデータを読み取る装置まであるといいます。

盗んだデータを手動で抽出する手口も、もはや過去のものです。新しいリーダーのモデルには、GSMモジュールが搭載され、暗号化された磁気カードのデータを一般的な携帯ネットワーク経由で送信することができます(スキミング詐欺師も健闘しているのです!)。

暗証番号を守ろう

それからというもの、暗証番号は一番の弱点となっています。犯罪者は、小型で発見されにくいカメラや、時には(スリムな設計と長持ちするバッテリーで評価の高い)iPod touchなどのよくあるモバイルデバイスを使って、暗証番号を盗み見ようとしています。

カメラは、入力用キーパッドの上などに設置されます。スキミング詐欺師が特に好むのは、よく銀行のパンフレットなどが置いてあるスタンドです。どの銀行にもあるものなので、怪しまれることは滅多にありません。

ただし、現金を引き出そうとしている人がキーパッドを手で隠してしまえば、カメラは役に立ちません。また、動画は送信や処理の面であまり使い勝手が良くなく、大量の手作業が必要になります。

ATMキーパッド向けのスリムな偽装パネルは大幅に値下がりしていて、闇市場では1,000ユーロ以下で購入できます。このため、事態はさらにややこしくなっています。キーパッドを手で隠しても、もはや通用しません。パネル側で暗証番号がわかるのですから。また、4桁のコードをSMS経由でスキミングデータベースに送信する方が、長時間の動画を処理するよりも簡単で、プロセス全体の自動化もいっそう進みます。

たしかに偽装パネルは、元のキーパッドの上に覆いかぶさっています。しかし、キーパッドを慎重に確かめる利用者はほとんどいません。上から見る限り、ごく普通の装置に見えます。偽装パネルは元のATMのキーパッドと同じ素材と塗装で作られているためです。

skimmer-1

もう1つ、スキミング詐欺師がよく使う手法があります。情報の復号化とコピーに使うソフトウェアに保護をかけるというものです。こうすることで、カード詐欺師は競合するスキミング詐欺師や警察から身を守っているのです。こんな具合です…

このスキミングソフトウェアは、間違ったパスワードが入力されると、間違っていることを通知せずに終了します。スキミング詐欺師は、本物らしく見える間違ったパスワードを警察に渡して、これは最近ダウンロードした無害なソフトウェアだとうそぶくのです。パスワードを入れてもソフトウェアは起動しません。「そんなはずはないですよ!おかしいなあ…」

そのプログラムが犯罪行為に使われたものと証明するには、警察は技術力のある専門家を呼んでコードを分析してもらう必要がありますが、これは労力と時間のかかる作業です。

そうは言っても、技術は全体の一部分にすぎません。スキミング行為の多くは今でも手作業であり、非常にリスクの高い犯罪です。このあたりの話は、犯罪者から銀行口座を守るためのヒントも含めて、次回の記事で触れたいと思います。