無線スキマーでクレジットカード情報盗まれる 57
ストーリー by Oliver
物理的なセキュリティ問題 部門より
物理的なセキュリティ問題 部門より
Anonymous Coward曰く、"東京都内の五つのホテル内の店舗のクレジットカードの信用照会端末器計6台の内部に、無線機能を持ったスキマーが仕掛けられていたとのこと(Y!掲載毎日新聞記事)。
どのカードリーダーか判らないが、耐タンパー性が低く、毎日点検しなければ安全に使えないものが出回っているということだ。
スキマーを仕掛けられた店舗やカードリーダーメーカーは、加州で最近施行された新法のように「お客様、私たちはハックされました」とちゃんと公表して欲しい。"
クレジットカードってそもそも危険な物 (スコア:4, 興味深い)
客も店も相手を「信用」する以外にどうしようもないという、どうしようもないシステムですからねぇ。そういう物だと理解して使って、被害に遭ったら文句言ってカード保険でカバーするしかないでしょう。
Re:クレジットカードってそもそも危険な物 (スコア:3, 興味深い)
ですよねぇ。
リアルのお店でカードを使った場合、 カウンターの人にカードを渡して、 それをレジの人の所までもっていって、 ちょっとえらい人がサインのチェックとかして、 この時点でカード番号がすでにバイト店員を含めた数人の目に触れています。 しかも、レシートにはご丁寧にカード番号が全桁書いてあるから、 帰ってシュレッダーにかけるまでは安心できませんよね。
そう考えると SSL で適切に保護されたオンライン決済のほうが、 よっぽど安全なんじゃないかと思ったりもします。 オンライン決済の場合は、 もちろん業者がカード番号の扱いをいい加減にやっていればダメですが、 システムの作り方しだいでは、 通常のフローではただの店員がカード番号を見る機会がないようにできますし。
綴じ込みの定期購読申し込みはがきにクレジットカード番号欄がある雑誌を少し前にみて、 びっくりしてしまいましたが。
use Test::More 'no_plan';
Re:クレジットカードってそもそも危険な物 (スコア:2, 参考になる)
日本に帰国して違和感があったことのひとつに、レシートにクレジットカード番号がフルで印字されていることですね。
アメリカでは下4桁を伏せ字にしたり、とりあえず全部印字してある店は滅多に見かけませんでした。(皆無ではありませんが)
かの国ではごみ箱あさりをして、住所、氏名、SSN、クレジットカード番号などを入手して詐欺に励む連中が居るのでレシートだけじゃなく自分の住所氏名が印刷されているDMなどもシュレッダーにかけていました。
需要があるせいか、家庭用のシュレッダーもその辺で普通に売ってたりします。
Re:クレジットカードってそもそも危険な物 (スコア:1, 興味深い)
だめぢゃん。
最低でも利用明細送られてくるまで保管しとかんと。
日本じゃどうか知らんけど、外国だとあとから数字を書き足すなんてよくあったらしいぞ。
(最近じゃ手書きは見なくなったけどさ)
Re:クレジットカードってそもそも危険な物 (スコア:0)
> よっぽど安全なんじゃないかと思ったりもします。
「クレジットカード決済代行サービス」の類を利用していると、
ショップの人間には番号を知られないので、客として安心できます。
「代行サービス」提供元はまともな管理をしていると言う前提で、ですが。
Re:クレジットカードってそもそも危険な物 (スコア:2, 興味深い)
Re:クレジットカードってそもそも危険な物 (スコア:2, 興味深い)
現実: サラ金の取り立てみたいに「あんた、使ったんだろう! 払えばいいんだよ、払えば」と取り立てられる。
データを読み取られて偽造カードを作られ、それで換金しやすい物を沢山買われると、発覚するまでに2ヶ月近くかかるし「あちこちで借金したので、カードで買い物して売って返済したんだろう!」と疑われるでしょうね。まあ、実際にサラ金業者でそういった手口を多重負債者に教える所も多いので、「自分はそうじゃない、きっとどこかの不良店員にデータをスキミングされたんだ!」と訴えても、カード会社が言い分を認めて保険を適用してくれなかったら裁判するしかないし、日本で裁判するには多大な時間や訴訟費用がかかって(しかも「裁判は東京地裁で」とか規約に書かれていたら、地方の人は悲惨)しかも信用は戻らないのでね。
Re:クレジットカードってそもそも危険な物 (スコア:1, 参考になる)
いくら契約書に書かれてても、企業対個人の場合、個人が裁判所に移送請求すれば結構通るらしい。
必ず通る訳ではないだろうけど。
Re:クレジットカードってそもそも危険な物 (スコア:1, すばらしい洞察)
# プライバシーとお金の換算をどうつけるか知らんけど
# まあオフトピ
Re:クレジットカードってそもそも危険な物 (スコア:1, 興味深い)
この辺は慣例で決まるんでしょうね。
日本だと1件あたり5000円ぐらいでしたっけ?
Re:クレジットカードってそもそも危険な物 (スコア:1)
Re:クレジットカードってそもそも危険な物 (スコア:0)
相手を信用しなくても安全にできる取引手段ってなんなのでしょう。
Re:クレジットカードってそもそも危険な物 (スコア:0)
取引手段 (スコア:0)
Re:取引手段 (スコア:0)
最強じゃないだろ、
それに一対一対応で交換って難しいのが現状
物って必要な人には物凄く価値があるが
無い相手ではゴミ以下の扱いになる。
だからお金という共通の金券が使われ
さらに利便性を追求したカードが使われるわけだけど
逆にチャンスなんだよね。誰もが簡単に使えて偽造を防止できる
あっという方法を考え付けばあなたは大金もちかもよ
#核戦争後...
Re:クレジットカードってそもそも危険な物 (スコア:0)
そもそもシステム的にもっと大丈夫なものであれば、もっと安価な決済サービスになったりしないかな?
ということで
Re:クレジットカードってそもそも危険な物 (スコア:2, 興味深い)
店の売上の4%程度(業種による)をカード会社が手数料としてピンハネする事から来ます。ですから、単純に計算すると、25人に1人が不正使用で保険でカバーすれば収支はトントンという事です。実際には、そこまで酷くは無いので、たまに不正利用されてもカード会社は儲かります。だからこんな危なっかしいシステムがのさばっているわけ。 もっとも、限度額近くの何十万円も不正に使われちゃった物を、「被害に遭いました」の連絡一つでチャラにしてくれればいいですけれど、疑われると消費者は大変です。 こういうのは、カード会社はあまり宣伝しませんがね。
考えてみれば、カードなんて、番号と名前と有効期限さえ知られれば、他人でもオンラインで買い物ができちゃいますよね。不正利用するのにはスキマーすら要らない位です。
既に連絡が来ています (スコア:3, 参考になる)
電話で「身に覚えのない請求があったら至急連絡ください」とのこと。
Re:既に連絡が来ています (スコア:1, 興味深い)
調べると言ったきり返答ないS社はなぁ(´・ω・`)
以前、海外旅行先でオンライン明細チェックして盗用を発見して電話したんだけど「今、海外旅行先でカード止められるのは困るんです」と言ったら、(当然だが)向こうも困っていた。
Re:既に連絡が来ています (スコア:0)
ものすごく興味あります。
結局どのような対応をして事の解決をみたのでしょうか?
Re:既に連絡が来ています (スコア:0)
使われたことが分かった時点でカード会社が止める。もっとも
その後の被害を保険でカバーせず、自分で払うというなら
話は違うかも知れないが
Re:既に連絡が来ています (スコア:1, 興味深い)
って,サギが出ないことを祈っておきます.
さらに (スコア:2, すばらしい洞察)
こうなると、「カード会社から点検に来ました」と言って
スキマーを仕掛ける奴が出てきそうですね。
「無線を使って定期的にわが社の方でチェックする方式の
対策装置を付けておきました。あからさまにこの装置が
ついてるのがわかる方が犯罪者も敬遠しやすいんですよ。」
とか言っておくとなおよいかも。
#しかし、スキマーって奥様便利グッズとして
#100円ショップとかで売ってそうな響きやね。
Kiyotan
Re:さらに (スコア:0)
こうなると、「カード会社から点検に来ました」と言って
スキマーを仕掛ける奴が出てきそうですね。
カード会社自体はCATを入れ
信用はしないで済むに越したことがない (スコア:2, 参考になる)
WebMoneyみたいな実装にできれば、店を信用しなくても済むんですが…。
磁気でワンタイムじゃない時点で、"お察しください"だなぁと。
まあ、ICカードにしたところで「表面情報だけでネット決済できる実装」がある限りザルですし、SSLだろうと店には平文が届くわけですが。
ってことで、ネット決済用のものすごく限度額が低いカードが欲しいところなんですが(限度額以上は信用しないで済むから)、
どうも限度額って自力で下げ難いようなので、自分は郵貯チェックを申し込みました。
郵貯チェックカード《セゾン》(VISA付) 11枚目 [2ch.net]
ネット決済専用カード (スコア:2, 参考になる)
三井住友バーチャルカード [smbc-card.com] とかどうでしょう? カード自体が必要な場合 (航空券受取時など) は使えませんが。
なお、私はICカード普及によって、 利用者のリスクは増大すると思っています。 (暗証番号が利用された場合には保険適用外のため。)
# ラブホとかでも使っていたのでAC
HIRATA Yasuyuki
スキマーの元 (スコア:1)
それにしても無線式と言うのが、あっぱれ。オンラインでTCP/IPを喋るのが登場するのも時間の問題か。
これか? (スコア:1)
Re:これか? (スコア:0)
PXAやSH-MobileなどのCPU(単にPICかもしれん)+メモリ周りのボードと
送受信のアナログ部って構成だろう
Re:スキマーの元 (スコア:1)
AirH”なんかは番号で身元がバレルけど
CF型無線LANカード入れておけば、かなり飛ぶし、
CFカード数枚程度のスペースがあれば十分可能。
それは市販品を組み合わせることで割りと簡単にできるというところも重要だったりします。
しかも暗号化して車載のPCで受け取れば、セキュリティも安心です(彼らにとって)
毎日新聞記事 (スコア:1)
"無線 スキマー"でぐぐる [google.co.jp]と、クレジットカードの情報が盗まれる [biglobe.ne.jp]なんてサイトがトップにランクされます。世間でも徐々に認知度が高まりつつあるようですね…。
直リン (スコア:1)
もっとも、Yahoo!にしても http://help.yahoo.co.jp/help/jp/news/news/q07.html にあるとおり、target=_blankでリンクしてくれと主張しているわけで、そういう意味ではイマ一歩って感じもしますが。
こういうときは毎日インタラクティブの記事のURLを書くだけ(リンクはらない)にとどめとくのが妥当な線かもしれません。
偽のカード情報 (スコア:1, 興味深い)
偽のカード情報を入れることにより、無効なカードを作らせ、
使用したらすぐに警察に通報されるというシステムはどうでしょう?
Re:偽のカード情報 (スコア:1)
ただ、仕込まれたことに気がついたことや無効なカードを読ませることが(さらにはその準備があることも)、スキマーを仕込んだ人間にバレたら意味が無いので、誰が信頼できるのか?の判断は必要かも。
内部犯行だったりしますからね。
Re:偽のカード情報 (スコア:2, 興味深い)
店長なり、オーナーなりが定期的にこの「おとりカード」を読み込ませていけば良い様な気がしますが。複数のカードを作っておけばどのお店から流出したのかもわかりますしね。
それにあらかじめカードを作っておくので準備というか周囲への告知 とか可能ですよね。
へ?店長による犯行だったら?ですか??
そこまでは考えてません。でもそんな店長のお店ならレジスターのところで携帯式の奴でコピーとると思う。
こういうのって (スコア:1)
っていうのはダメなんですかね。
何か細工されればすぐわかると思うんですけど。
Re:こういうのって (スコア:1, 参考になる)
金属フレームだったりてして可視性はよくありません
多層で構成された基板の場合基板の間に入れらればそれまでだし
また、違法な回路が蛇目基板ではなくガラエポのしっかりした基板で
作られていた場合回路に詳しく無い人が見てもわからないでしょう。
それにiBookなどのシースルーな製品を参考になされるとよろしいのですが
EMI対策があります。簡単にいうなら他の機器に影響をおよぼさないように
漏れ電波防止のためシールドする必要があります。
よってそのまま回路むき出しにするわけにはいきませんので
上手くいかないのではないでしょうか。
これがほんとの (スコア:0)
# リンク先の関係者なのでAC
教えて偉い人 (スコア:0)
これって「ハック」なんですか?「クラック」なんですか?
クラックのような気もするし、機械の性能を調べて新たな物を付け加えたのでハックと呼べなくもないような気もしますし。
犯罪かどうかだけで見れば「クラック」ですよね。
真面目にどなたか教えて
Re:教えて偉い人 (スコア:3, 参考になる)
眺めてみましたが、原文のタイトルは、
Law aims to reduce identity theft
です。
また、
crack や hack という単語はひとつも出てきませんでした。
CNET Japanが勝手に、「お客様、私たちはハックされました」
というタイトルを付けただけみたいです。
「ハックされました」 (スコア:1)
してたりするんでしょうかね?
従業員がサラ金か闇金で借金したのが返済仕切れなくなって手先に
使われたとか、「こんな安月給ではやってらんね〜」と暴走した
とか。
Re:教えて偉い人 (スコア:0)
おふとぴ (スコア:0)
ってのを思い出したり出さなかったり。
Re:おふとぴ (スコア:1)
No foolery,No life.
高城"Dunna"戎太郎
Re:おふとぴ (スコア:0)
マルタイのページ [nishitetsu.co.jp]
明らかにオフトピですが。
Re:おふとぴ (スコア:1)
いや, これはガイロン・タワーでガンちゃんと戦ったあれでは.
# じぇろにもー! なのでID
Re:おふとぴ (スコア:0)
#オフトピすぎなAC
スキマーの耐タンパー性は? (スコア:0)
興味本位でスキマーからカード情報をダウンロードしたり、
勝手に情報を消してしまう奴も出てくるでしょうね。
せっかく仕込んだスキマーを警察に解析されてしまえば、
同じ手は使えなくなるかもしれません。
そうならないようにカード偽造団側もスキマーの耐タンパー性や
情報の暗号化に力を入れたりして(w
あの店は怪しい (スコア:0)
スキーマなどで読み取っている。
こうなると誰を信じていいのやらというのが悩みの種なんですね。
機器を改造されているのかもしれないし
店員がグルかもしれない。
だからといって店を疑うわけにも中々証拠が無い
数件摘発されるが氷山の一角にしか過ぎず
#コメントしづらいのAC
それって (スコア:0)
日本の暴力団は欲しいんだけど某国の方々が独占しているって話は聞いたことがあります。