パスワードを忘れた? アカウント作成
650106 journal

von_yosukeyanの日記: キャッシュカードの非接触スキミング? 6

日記 by von_yosukeyan

高木日記から

森の「シリーズ安全崩壊」は面白いことは面白いんだけど、内容として伝聞系の話も混じっているので、注意してみてるのだがそれはそれとして

キャッシュカードは確かに都市銀行がキャッシュカードと自動機を配備しはじめた70年代から1980年代までは、磁気ストラップ面に暗証番号を平文で記述していた。しかし、メーカー技術者や一部のアングラ雑誌などでこの事実が暴露された80年代前半から半ばにかけて、キャッシュカードの偽造事件が多発した関係で、ホストで暗証番号を確認するというゼロ暗証番号化が行われた。よって、現在のキャッシュカードの磁気ストラップ面の暗証番号欄は「0000」になっている

ところで、偽造されたキャッシュカードによる預金引出しがあった場合、被害者は預金返還を行い得るのだろうか。この件につき、唯一の司法判断として富士銀行偽造キャッシュカード事件最高裁判決がある(判例集未登載、参照愛大判例)。この事件は、よく民法478条との関係で取り上げられることの多い判例だが、学説には争いがあるものの、この判例では478条の適用を直接的に適用したものではなく、キャッシュカード取引約款による免責(取引約款免責説)、または478条を具現化したキャッシュカード取引約款による免責(478条間接適用説)の二つがある

問題は、キャッシュカードの取引約款がどのようになっているかである。みずほ銀行の場合だと、以下のようになる(抜粋、なお強調は我輩による)

第11条 暗証照合等

2. 当行が、カードの電磁的記録によって、ATM/CDの操作もしくはカードによる窓口での取引の際に使用されたカードを当行が交付したものとして処理し、入力された暗証と届出の暗証との一致を確認して預金の払い戻しをしたうえは、カードまたは暗証につき偽造、変造、盗用その他の事故があっても、そのために生じた損害については、当行および払出提携先は責任を負いません。ただし、この払い戻しが偽造カードによるものであり、カードおよび暗証の管理について預金者の責に帰すべき事由がなかったことを当行が確認できた場合の当行の責任については、このかぎりではありません。

11条2項の但し書きの部分は、実際のところ最近付け加えられたもので、これ自体はFSAによる指導並びに全銀協了解事項であると聞いている。キャッシュカードを利用した普通、貯蓄、当座の取引は、取引の性質上貯蓄よりも決済機能を重視したもので、顧客の求めに応じて即座に引き出しが可能であると言う性質を持っている。故に、先日の過誤弁済損害賠償事件横浜地裁判決でも、定期預金の第三者への弁済の場合には銀行側が本人確認を怠ったとして478条を適用しなかったのに対して、普通預金の場合にはこれを否定している

富士銀行事件の場合には、事実関係はどうであれ法律論としては技術的な脆弱性を持ったキャッシュカードであっても、一般的にその脆弱性が知られていない場合には「支払システムが免責約款の効力を否定しなければならないほど安全性を欠くものということはできない」としている。これ自体に批判が多いのだが、約款の改訂は偽造カードに関する問題を認識しはじめたが故の改訂ではないか、と思ったりする

それはそれとして、どうやって暗証番号が漏れたのかという問題だが、思うにa)ATMでタシーロ、b)デビット支払い時にタシーロ、c)ゼロ暗証番号化以前の都市銀行のキャッシュカードを利用、d)推察されやすい暗証の二つがあるのではないかと思う

まず、ATMだがキャッシュコーナーの仕切りが低かったり、仕切り自体が透明だったりする非常識な銀行があったりするので、これでやられてしまう可能性がある。特に、コンビニATMなどではコンビニ店内が狭いので覗き見される可能性は高い。実際に、ボク自身もコンビニATMを操作しているときに、ATMの隣の新聞を選んでる人から手元が見えそうになってドキっとしたことがある

もうひとつは、背の低い女性などだとATM操作中に後ろから背の高い男が上から覗き込む、というのも十分可能である。実際に、過去の安全崩壊でも放映していた事例があるようだ。

二番目にデビット支払い時の暗証番号の覗き見だが、暗証PAD自体の覆いでは不十分ではないかと思えることが時々ある。

c)のゼロ暗証番号化以前のキャッシュカードの場合だが、都市銀行に比べCDやキャッシュカードの導入が遅かった地方銀行や、長銀、信託銀などの場合だと、ほとんど最初からゼロ暗証番号化を果たしているので、可能性としては低い。だが、15年以上前のキャッシュカードを未だに利用している場合だと可能性としてはありえるだろう(可能性としては低いと思うが)

d)の可能性はこの中でも比較的高い部類に入るだろう。生年月日(365通り)、ナンバープレートなどの番号といった推察されやすい番号を設定している場合は結構あるのではないかと思うのだが

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by parsley (5772) on 2003年12月03日 22時21分 (#447236) 日記
    じっくり読ませていただきました。元記事に立ち戻って。

    法理論の話しになると門外漢ですが。
    富士銀行事件もすでに終了してしまった話しなので、遡ってどうこういうつもりはありません。指摘されているその後の約款変更がその結果だと受け止めるのみです。

    ここからは感情論。(「なんて他人の日記のコメントに残すな」と言われそう)「信義誠実の原則」ってどこへ行ってしまったんでしょうね?

    あと一点
    磁気ストラップ→磁気ストライプ

    # 校正厨とかいわれてしまうかもしれなくてもIDで
    --
    Copyright (c) 2001-2014 Parsley, All rights reserved.
    • >「信義誠実の原則」ってどこへ行ってしまったんでしょうね?

      実は、この富士銀行判例には事実関係によくわからない部分があって、

      a)暗証番号が推測されやすいものだった
      b)被害者は、キャッシュカードを職場の引き出しに鍵をかけないまま放置していた

      などの事実があったようで、どうも必ずしも「キャッシュカードから暗証番号を読んだという確証がなかった」という話です。

      まぁ最近の判例では、銀行の預金過誤払戻に対する訴訟で、(銀行側の)478条の免責範囲を狭く解釈する判例が出ているので、何でもかんでも478条を援用していればいい、というわけでもなくなってきているような気もしますが

      >磁気ストラップ→磁気ストライプ

      うひ
      親コメント
  • by Anonymous Coward on 2003年12月03日 22時54分 (#447269)
    Cの場合でもCD/ATMを使用したときに書き換えられてます。
    多分。
typodupeerror

192.168.0.1は、私が使っている IPアドレスですので勝手に使わないでください --- ある通りすがり

読み込み中...