パスワードを忘れた? アカウント作成
6036 story

無線スキマーでクレジットカード情報盗まれる 57

ストーリー by Oliver
物理的なセキュリティ問題 部門より

Anonymous Coward曰く、"東京都内の五つのホテル内の店舗のクレジットカードの信用照会端末器計6台の内部に、無線機能を持ったスキマーが仕掛けられていたとのこと(Y!掲載毎日新聞記事)。
どのカードリーダーか判らないが、耐タンパー性が低く、毎日点検しなければ安全に使えないものが出回っているということだ。 スキマーを仕掛けられた店舗やカードリーダーメーカーは、加州で最近施行された新法のように「お客様、私たちはハックされました」とちゃんと公表して欲しい。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • クレジットカードの起源はレストランの馴染み客がツケ払いできる会員カードを無理矢理広く使えるようにした物で、元からセキュリティーは何ら考えずに作られています。 店員に携帯型スキマーを使われる [mainichi.co.jp] といった事は以前からありますから、今回のは無線で飛ばすという以外に特に目新しい所は無いように思います。

    客も店も相手を「信用」する以外にどうしようもないという、どうしようもないシステムですからねぇ。そういう物だと理解して使って、被害に遭ったら文句言ってカード保険でカバーするしかないでしょう。

    • ですよねぇ。

      リアルのお店でカードを使った場合、 カウンターの人にカードを渡して、 それをレジの人の所までもっていって、 ちょっとえらい人がサインのチェックとかして、 この時点でカード番号がすでにバイト店員を含めた数人の目に触れています。 しかも、レシートにはご丁寧にカード番号が全桁書いてあるから、 帰ってシュレッダーにかけるまでは安心できませんよね。

      そう考えると SSL で適切に保護されたオンライン決済のほうが、 よっぽど安全なんじゃないかと思ったりもします。 オンライン決済の場合は、 もちろん業者がカード番号の扱いをいい加減にやっていればダメですが、 システムの作り方しだいでは、 通常のフローではただの店員がカード番号を見る機会がないようにできますし。

      綴じ込みの定期購読申し込みはがきにクレジットカード番号欄がある雑誌を少し前にみて、 びっくりしてしまいましたが。

      --
      use Test::More 'no_plan';
      親コメント
      • 日本に帰国して違和感があったことのひとつに、レシートにクレジットカード番号がフルで印字されていることですね。
        アメリカでは下4桁を伏せ字にしたり、とりあえず全部印字してある店は滅多に見かけませんでした。(皆無ではありませんが)

        かの国ではごみ箱あさりをして、住所、氏名、SSN、クレジットカード番号などを入手して詐欺に励む連中が居るのでレシートだけじゃなく自分の住所氏名が印刷されているDMなどもシュレッダーにかけていました。
        需要があるせいか、家庭用のシュレッダーもその辺で普通に売ってたりします。

        親コメント
      • by Anonymous Coward on 2003年07月03日 23時27分 (#351544)
        >帰ってシュレッダーにかけるまでは安心できませんよね。

        だめぢゃん。
        最低でも利用明細送られてくるまで保管しとかんと。

        日本じゃどうか知らんけど、外国だとあとから数字を書き足すなんてよくあったらしいぞ。
        (最近じゃ手書きは見なくなったけどさ)
        親コメント
      • > そう考えると SSL で適切に保護されたオンライン決済のほうが、
        > よっぽど安全なんじゃないかと思ったりもします。

        「クレジットカード決済代行サービス」の類を利用していると、
        ショップの人間には番号を知られないので、客として安心できます。
        「代行サービス」提供元はまともな管理をしていると言う前提で、ですが。
    • by Anonymous Coward on 2003年07月03日 18時08分 (#351285)
      そういう物だと理解して使って、被害に遭ったら文句言ってカード保険でカバーするしかないでしょう。
      RFID のプライバシー問題も、そうやって解決すればいいと言っている人がいます。 http://www.rieti.go.jp/it/column/column030625.html [rieti.go.jp]
      クレジットカードは、危険ではあるが、問題が生じた際には、一定期間過去に遡って保険が適用されるという仕組みが構築されており、クレジットシステムには高い信頼が存在する。ユニークなID有するRFIDが貼付された物を持ち歩くとプライバシーが漏洩する可能性があると、いたずらに不安を煽るのは適切でないであろう。万が一の場合は、事後的に司法を通じて問題を解決する方法もあり、対策のコストと事後解決のコストの比較衡量が欠かせない。
      親コメント
      • 建前: 問題が生じた際には、一定期間過去に遡って保険が適用される

        現実: サラ金の取り立てみたいに「あんた、使ったんだろう! 払えばいいんだよ、払えば」と取り立てられる。

        データを読み取られて偽造カードを作られ、それで換金しやすい物を沢山買われると、発覚するまでに2ヶ月近くかかるし「あちこちで借金したので、カードで買い物して売って返済したんだろう!」と疑われるでしょうね。まあ、実際にサラ金業者でそういった手口を多重負債者に教える所も多いので、「自分はそうじゃない、きっとどこかの不良店員にデータをスキミングされたんだ!」と訴えても、カード会社が言い分を認めて保険を適用してくれなかったら裁判するしかないし、日本で裁判するには多大な時間や訴訟費用がかかって(しかも「裁判は東京地裁で」とか規約に書かれていたら、地方の人は悲惨)しかも信用は戻らないのでね。

        親コメント
        • by Anonymous Coward on 2003年07月03日 18時56分 (#351349)
          >しかも「裁判は東京地裁で」とか規約に書かれていたら、地方の人は悲惨

          いくら契約書に書かれてても、企業対個人の場合、個人が裁判所に移送請求すれば結構通るらしい。
          必ず通る訳ではないだろうけど。

          親コメント
      • by Anonymous Coward on 2003年07月03日 18時11分 (#351291)
        お金の話なら同じ手法でいいんじゃない

        # プライバシーとお金の換算をどうつけるか知らんけど
        # まあオフトピ
        親コメント
    • そもそも貨幣(以下略
      親コメント
    • じゃ、最初からセキュリティを考えている、
      相手を信用しなくても安全にできる取引手段ってなんなのでしょう。
      • 現金取引や物々交換ではいかがでしょう?
      • by Anonymous Coward
        物々交換。これ最強。
        • by Anonymous Coward
          >物々交換。これ最強。

          最強じゃないだろ、
          それに一対一対応で交換って難しいのが現状
          物って必要な人には物凄く価値があるが
          無い相手ではゴミ以下の扱いになる。
          だからお金という共通の金券が使われ
          さらに利便性を追求したカードが使われるわけだけど

          逆にチャンスなんだよね。誰もが簡単に使えて偽造を防止できる
          あっという方法を考え付けばあなたは大金もちかもよ

          #核戦争後...
    • で、その保険はどこから来るのでしょうか?回りまわってカードの年会費とか金利とかに跳ね返っているような気がしますが。

      そもそもシステム的にもっと大丈夫なものであれば、もっと安価な決済サービスになったりしないかな?

      ということで
      • > その保険はどこから来るのでしょうか?

        店の売上の4%程度(業種による)をカード会社が手数料としてピンハネする事から来ます。ですから、単純に計算すると、25人に1人が不正使用で保険でカバーすれば収支はトントンという事です。実際には、そこまで酷くは無いので、たまに不正利用されてもカード会社は儲かります。だからこんな危なっかしいシステムがのさばっているわけ。 もっとも、限度額近くの何十万円も不正に使われちゃった物を、「被害に遭いました」の連絡一つでチャラにしてくれればいいですけれど、疑われると消費者は大変です。 こういうのは、カード会社はあまり宣伝しませんがね。

        考えてみれば、カードなんて、番号と名前と有効期限さえ知られれば、他人でもオンラインで買い物ができちゃいますよね。不正利用するのにはスキマーすら要らない位です。

        親コメント
  • by Anonymous Coward on 2003年07月03日 17時45分 (#351262)
    カード会社から「盗まれた可能性があるので、カード(番号を含めて)を刷新して欲しい」という連絡が来ました。
    電話で「身に覚えのない請求があったら至急連絡ください」とのこと。
    • by Anonymous Coward on 2003年07月03日 18時32分 (#351322)
      報道されたり、バレバレな使われ方(特定店舗で買い物した人全員が盗用される)があれば、カード会社からそういってくれますけどね………

      調べると言ったきり返答ないS社はなぁ(´・ω・`)

      以前、海外旅行先でオンライン明細チェックして盗用を発見して電話したんだけど「今、海外旅行先でカード止められるのは困るんです」と言ったら、(当然だが)向こうも困っていた。
      親コメント
      • >以前、海外旅行先でオンライン明細チェックして盗用を発見して電話したんだけど「今、海外旅行先でカード止められるのは困るんです」と言ったら、(当然だが)向こうも困っていた。

        ものすごく興味あります。
        結局どのような対応をして事の解決をみたのでしょうか?
        • ネタだろ

          使われたことが分かった時点でカード会社が止める。もっとも
          その後の被害を保険でカバーせず、自分で払うというなら
          話は違うかも知れないが
    • by Anonymous Coward on 2003年07月04日 10時06分 (#351754)
      「確認のため現在のカード番号と有効期限をお知らせください」
      って,サギが出ないことを祈っておきます.
      親コメント
  • さらに (スコア:2, すばらしい洞察)

    by kiyotan (3912) on 2003年07月03日 22時22分 (#351489) 日記
    カード会社は店舗にある CAT を調査したいって言ってるようですが、
    こうなると、「カード会社から点検に来ました」と言って
    スキマーを仕掛ける奴が出てきそうですね。
    「無線を使って定期的にわが社の方でチェックする方式の
    対策装置を付けておきました。あからさまにこの装置が
    ついてるのがわかる方が犯罪者も敬遠しやすいんですよ。」
    とか言っておくとなおよいかも。

    #しかし、スキマーって奥様便利グッズとして
    #100円ショップとかで売ってそうな響きやね。
    --
    Kiyotan
    • by Anonymous Coward
      >カード会社は店舗にある CAT を調査したいって言ってるようですが、
      こうなると、「カード会社から点検に来ました」と言って
      スキマーを仕掛ける奴が出てきそうですね。

      カード会社自体はCATを入れ
  • 現行のクレジットカードって、カード会社と商品を売ってくれる店の両方を(買う瞬間だけでなく)信用し続けなければならないところに罠がある気がします。

    WebMoneyみたいな実装にできれば、店を信用しなくても済むんですが…。
    磁気でワンタイムじゃない時点で、"お察しください"だなぁと。
    まあ、ICカードにしたところで「表面情報だけでネット決済できる実装」がある限りザルですし、SSLだろうと店には平文が届くわけですが。

    ってことで、ネット決済用のものすごく限度額が低いカードが欲しいところなんですが(限度額以上は信用しないで済むから)、
    どうも限度額って自力で下げ難いようなので、自分は郵貯チェックを申し込みました。

    郵貯チェックカード《セゾン》(VISA付) 11枚目 [2ch.net]
  • by bikeman (14466) on 2003年07月03日 17時20分 (#351231)
    先週、秋葉原のラジオ会館の4階に行ったら、カードリーダーがジャンクで売られていた。数年前ならけっこう見掛けたんだけど、いまも売られているのね。

    それにしても無線式と言うのが、あっぱれ。オンラインでTCP/IPを喋るのが登場するのも時間の問題か。
    • by bikeman (14466) on 2003年07月03日 17時29分 (#351242)
      秋月のデータロガーキット [akizukidenshi.com]を改造して、組み込んだのかなあ?
      親コメント
      • by Anonymous Coward
        基板が小さいから違うと思われ
        PXAやSH-MobileなどのCPU(単にPICかもしれん)+メモリ周りのボードと
        送受信のアナログ部って構成だろう
    • by 0.1uF (3815) on 2003年07月03日 19時52分 (#351380) 日記
      TCP/IPならもう可能になる・・でしょうね。
      AirH”なんかは番号で身元がバレルけど
      CF型無線LANカード入れておけば、かなり飛ぶし、
      CFカード数枚程度のスペースがあれば十分可能。
      それは市販品を組み合わせることで割りと簡単にできるというところも重要だったりします。

      しかも暗号化して車載のPCで受け取れば、セキュリティも安心です(彼らにとって)
      親コメント
  • に直にリンク [mainichi.co.jp]しないのはなんでか。という疑問があるのですが、それはまあいいとして。

    "無線 スキマー"でぐぐる [google.co.jp]と、クレジットカードの情報が盗まれる [biglobe.ne.jp]なんてサイトがトップにランクされます。世間でも徐々に認知度が高まりつつあるようですね…。
    • by securecat (3946) on 2003年07月03日 19時12分 (#351358) ホームページ 日記
      http://www.mainichi.co.jp/annuncio/tyosakuken/ には原則トップページへリンクしてくれと書いてあるので、わざわざそう主張されている相手に了承を得てからとかいうくらいなら、直接リンクはれるところにはったほうが手っ取り早いわけでもあり。

      もっとも、Yahoo!にしても http://help.yahoo.co.jp/help/jp/news/news/q07.html にあるとおり、target=_blankでリンクしてくれと主張しているわけで、そういう意味ではイマ一歩って感じもしますが。

      こういうときは毎日インタラクティブの記事のURLを書くだけ(リンクはらない)にとどめとくのが妥当な線かもしれません。
      親コメント
  • by Anonymous Coward on 2003年07月03日 21時33分 (#351464)
    スキマーが仕込まれていたら、気付かないふりをして
    偽のカード情報を入れることにより、無効なカードを作らせ、
    使用したらすぐに警察に通報されるというシステムはどうでしょう?
    • by hix (3507) on 2003年07月03日 21時49分 (#351475) 日記
      面白そうな試みですね。

      ただ、仕込まれたことに気がついたことや無効なカードを読ませることが(さらにはその準備があることも)、スキマーを仕込んだ人間にバレたら意味が無いので、誰が信頼できるのか?の判断は必要かも。
      内部犯行だったりしますからね。
      親コメント
      • by onyonyo (15599) on 2003年07月03日 22時06分 (#351479)
        はじめから、それようのカードを作っておいたらどうでしょ。
        店長なり、オーナーなりが定期的にこの「おとりカード」を読み込ませていけば良い様な気がしますが。複数のカードを作っておけばどのお店から流出したのかもわかりますしね。
        それにあらかじめカードを作っておくので準備というか周囲への告知 とか可能ですよね。


        へ?店長による犯行だったら?ですか??
        そこまでは考えてません。でもそんな店長のお店ならレジスターのところで携帯式の奴でコピーとると思う。
        親コメント
  • by scythe (7906) on 2003年07月03日 23時20分 (#351539) 日記
    よく知らないんですけど、外装のカバーを透明にしてしまう、
    っていうのはダメなんですかね。
    何か細工されればすぐわかると思うんですけど。
    • by Anonymous Coward on 2003年07月04日 0時12分 (#351563)
      構造にもよりますが、外装を透明にしても
      金属フレームだったりてして可視性はよくありません

      多層で構成された基板の場合基板の間に入れらればそれまでだし
      また、違法な回路が蛇目基板ではなくガラエポのしっかりした基板で
      作られていた場合回路に詳しく無い人が見てもわからないでしょう。

      それにiBookなどのシースルーな製品を参考になされるとよろしいのですが
      EMI対策があります。簡単にいうなら他の機器に影響をおよぼさないように
      漏れ電波防止のためシールドする必要があります。
      よってそのまま回路むき出しにするわけにはいきませんので
      上手くいかないのではないでしょうか。
      親コメント
  • by Anonymous Coward on 2003年07月03日 17時29分 (#351243)
    スキマー産業 [dnsalias.com]

    # リンク先の関係者なのでAC
  • by Anonymous Coward on 2003年07月03日 18時19分 (#351304)
    >新法のように「お客様、私たちはハックされました」とちゃんと公表して欲しい。

    これって「ハック」なんですか?「クラック」なんですか?
    クラックのような気もするし、機械の性能を調べて新たな物を付け加えたのでハックと呼べなくもないような気もしますし。
    犯罪かどうかだけで見れば「クラック」ですよね。

    真面目にどなたか教えて
    • Re:教えて偉い人 (スコア:3, 参考になる)

      by annoymouse coward (11178) on 2003年07月03日 20時43分 (#351421) 日記
      CNET Networks のオリジナルの記事を
      眺めてみましたが、原文のタイトルは、
      Law aims to reduce identity theft
      です。

      また、
      crack や hack という単語はひとつも出てきませんでした。

      CNET Japanが勝手に、「お客様、私たちはハックされました」
      というタイトルを付けただけみたいです。
      親コメント
  • by Anonymous Coward on 2003年07月03日 20時49分 (#351426)
    まるちぷる・たいたんぱー

    ってのを思い出したり出さなかったり。
  • by Anonymous Coward on 2003年07月03日 21時01分 (#351439)
    もし無線式スキマーが大量生産品で、その通信方式が同じだったとしたら、
    興味本位でスキマーからカード情報をダウンロードしたり、
    勝手に情報を消してしまう奴も出てくるでしょうね。

    せっかく仕込んだスキマーを警察に解析されてしまえば、
    同じ手は使えなくなるかもしれません。

    そうならないようにカード偽造団側もスキマーの耐タンパー性や
    情報の暗号化に力を入れたりして(w
  • by Anonymous Coward on 2003年07月03日 23時04分 (#351523)
    店長が(暴)やアジア系の怪しい店の一部では
    スキーマなどで読み取っている。
    こうなると誰を信じていいのやらというのが悩みの種なんですね。

    機器を改造されているのかもしれないし
    店員がグルかもしれない。
    だからといって店を疑うわけにも中々証拠が無い
    数件摘発されるが氷山の一角にしか過ぎず

    #コメントしづらいのAC
  • by Anonymous Coward on 2003年07月04日 10時10分 (#351758)
    もう去年か一昨年ぐらいからその手では有名ですが今ごろ出てきたんですか。
    日本の暴力団は欲しいんだけど某国の方々が独占しているって話は聞いたことがあります。
typodupeerror

あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall

読み込み中...