【ネット時評 : 内田勝也(情報セキュリティ大学院大学)】
偽造カード問題を考える――問われる金融機関の姿勢

uchida02.jpg

 今年の初めに、金融機関カードのスキミング(情報の不正読み取り)によって偽造カードを作成し、多額の現金を引き出していた窃盗グループが逮捕された。
 
 しかし、キャッシュカードやクレジットカード等をスキミングし、悪用する事件は以前から報じられており、犯行グループも逮捕されている。
 
 スキミング事件を扱った書籍の出版やマスコミでの報道を受け、金融機関や監督官庁もやっと重い腰を上げたようだが、今回は金融機関を利用する者の一人として、この問題を考えてみたい。

 
事件の本質を考える
 
 スキミング事件の典型的なケースは、以下のようなものだ。
 
 なんらかの形で、キャッシュカードの磁気ストライプに記録されている情報が、偽造カードにコピー(スキミング)される。犯人は、磁気情報をコピーする時にキャッシュカードを使うが、情報のコピー後は、元に戻す。
 
 犯人は偽造カードを使って、金融機関の端末(金融機関の提携端末を含む)から、現金を引き出す。これには、キャッシュカードだけでなく暗証番号が必要であるが、暗証番号情報も、何らかの形で取得している。
 
 こうしたスキミング事件から、考えなくてはいけないポイントを整理してみよう。
 
(1)キャッシュカードの磁気情報が簡単にコピーできてしまう。
(2)暗証番号が犯人に簡単に漏れている。
(3)金融機関の端末は、キャッシュカードの磁気ストライプ情報及び暗証番号が正しければ現金の引き出しができる。
(4)金融機関の端末として利用できるものは、口座開設金融機関だけでなく、国内の他の金融機関のCD/ATMコーナー、提携コンビニエンスストアーの端末、一部の小売店(デビットカードとして利用)等で利用できる。
 
 これら個別あるいは複数の項目に対して、スキミング犯罪の防止やカード盗難への対策を考えていかなくてはならない。もちろん、その対策の本質はカードについての犯罪を防ぐことではなく、金融機関の利用者の資産を保護し、金融システムへの信頼を確保することだ。
 
 
キャッシュカードの対応
 
 現在、国内の金融機関で一般的に採用されているキャッシュカードは、磁気ストライプがカード表面(国際標準は裏面)にあり、70けた程度の情報が記録されている。
 
 一部の金融機関では、偽造カードやスキミング事件を契機に、キャッシュカードのIC化や生体認証を利用したカードへの変更を行っている。しかしながら、生体認証を利用したキャッシュカードには、以下のような問題点がある。
 
(1)現在利用されている生体認証は全てアナログ方式であるため、認証(本人確認)ができないことがある。万一、本人確認ができなければ、現金の引き出しや送金ができなくなる恐れがある。また、逆に他人を正しい人であると誤認する恐れもある。
(2)生体認証は、各個人特有のものであり、その情報が漏えいしてしまうと、同じ生体認証を利用している全てのシステムが利用できなくなる。また、同様のシステムを再構築することも難しくなる。
(3)生体認証は、人間の身体の一部を利用しているため、最悪の場合、身体の一部を削ぎ取られる可能性がある。こうした問題は情報セキュリティーの専門家の間でも、SFや映画の世界でのこと、と考えられていた。しかし、2005年3月にマレーシアで指紋を使ってエンジンを始動する車の所有者が、車強盗に指を切られてしまう事件(注1)が発生した。生体認証を使ったキャッシュカードではそのような事がないと誰が言えるだろうか?
 
 先日、生体認証の専門家と話をしたが、生体認証をキャッシュカードに使えば、身体の一部分を切り取って偽造することも可能かも知れないとの話があった。それをしなくても、既に指静脈の偽造(注2)の研究が行われており、大根で偽造できると報告している。
 
 現時点で、筆者の知る限り、海外で生体認証を利用したキャッシュカードを利用しているケースは知らない。それだけ、海外の金融機関では生体認証を利用することに慎重になっているのではないだろうか。
 
 生体認証システムを全く否定しているのではなく、使い方を選ぶ必要があると考えている。国内で、比較的早い時期に金融機関が生体認証を導入したのは定期預金であった。職員の目の前で本人が生体認証を利用するのであれば、本人認証ができなくても、なんらかのの対応は可能であろう。
 
 ICカードは、現時点で対応端末が非常に少ないため、多くのICカードが磁気ストライプを併用している。他の金融機関やコンビニなどでの利用を考えての措置であろうが、磁気ストライプがあればスキミングはできてしまう。これに対し一部の金融機関では、磁気ストライプを利用する端末からの引出限度額をゼロ円に設定できることで回避しているものもある。
 
 
暗証番号の漏えい
 
 2005年4月13日に開催された衆議院の財務金融委員会(注3)で、全国銀行協会の会長は、「暗証番号管理の注意喚起」として、生年月日、電話番号、住所地番、車のナンバーなどを避けて欲しいと述べているが、2005年1月にスキミング事件で捕まった犯人グループは、ゴルフ場の貴重品ボックスの暗証番号に、キャッシュカードの暗証番号を用いる人が多いという所に目をつけて犯行を重ねていた。
 
 記録をひもとくと、1999年9月に、東京新聞がクレジットカードやデビットカード(キャッシュカード)でのスキミングの危険性を指摘しており、スキミングされたクレジットカードを利用しようとした男性が福岡で逮捕されたと報じている。
 
 また、ゴルフ場で起きたカード犯罪は、スキミングに限らなければこれが最初ではない。2003年9月にも、福島県のゴルフ場で貴重品ボックスから盗んだキャッシュカードで1500万円もの現金をATMから引き出すという事件が発生している。その手口は、小型カメラで貴重品ボックスを操作する人の手元を隠し撮りするというものだった。2003年7月に福井県で発生したゴルフ場の貴重品ボックスからのキャッシュカード盗難事件でも、900万円引き出されている。
 
 全国銀行協会では、このような事件について情報を収集していなかったのだろうか。
 
 また2004年3月の衆議院財務金融委員会(注4)では、警察庁の局長がスキミング事件としての逮捕例はないと述べているが、上記の事件を知っていれば、暗証番号の漏洩は遅くとも2003年9月の時点で分かったのではないか。
 
 
金融機関の端末
 
 金融機関の端末は、なぜ全ての預金者に画一的なサービスを提供する必要があるのだろう、と疑問に感じている。どのようなマーケティングの本を読んでも、全ての顧客に同一のサービスをすることが最善であるとは書いていない。
 
 多くの金融機関のトップは、全顧客同一サービスを念頭に置いていると思う。だが筆者は小売店でのデビットカード機能をつけて欲しいと金融機関にお願いしたこともないし、金融機関からデビット機能を付加しますといった話も聞いていない。
 
 更に、利用している金融機関の支店は全国に数多くあるが、全ての支店で引き出しができる必要も感じない。コンビニ端末も今まで一度も利用したことはない。
 
 もちろん、コンビニ端末を使う方が便利だという人もいるし、デビットカード機能を使いたいと考える人もいる。なのに、金融機関トップには画一的なサービスの発想しかしないのだろうか? 個人を顧客対象としてみていないのだろうか、とすら思える。
 
 ある信用金庫は、本人、取扱店、窓口限定、1日当たり出金限度額の設定などが可能な口座システムを開始した。キャッシュカードも発行しない。口座手数料は取っているが、個人向けサービスとしてはひとつの解決策であろう。こうしたことが、大手金融機関ではできないのだろうか?
 
 
事件・事故への対応
 
 これらの事件を考えると、キャッシュカードのICカード化や、生体認証だけでは犯罪対策にはならないことが分かる。
 
 ゴルフ場の貴重品ボックスの暗証番号にキャッシュカードの暗証番号を使ったりしないよう、注意を呼びかけることが重要だ。筆者は、数十年前に大手都市銀行で始めて口座開設した時「暗証番号は生年月日になぜしないのですか?」と行員に叱られた経験がある。そんな自分でさえ、貴重品ボックス等の暗証番号は、最近までキャッシュカードと同じものを時々使っていたのだ。この事件がなければ気づかなかったであろう。
 
 2003年9月の事件で犯人が逮捕されてから、全国銀行協会や警察がこのような事件の広報を行っていたら、2004年以降の犯罪(注5)の多くは未然に防げたのではないだろうか。
 
 また、犯行グループは利用者本人が引き出しを行ったことのない深夜のコンビニ端末や遠隔地のATMコーナーを使って現金を引き出している。せっかくキャッシュカードをICカード化するのであれば、個人が必要とするサービスだけを提供できる仕組みを考えていただきたい。口座開設支店や、勤務先、自宅近くのATMだけ利用可能にしたり、他行では利用できないようにするなど、支払い場所を指定したサービスはICカード化されたものでこそ簡単にできるのではないだろうか? もちろん、対面サービスのみ、という選択肢もある。
 
 利用者は、自分の預貯金が安全・確実に守られる仕組みを金融機関に求めている。望まないサービスを押しつけることがおかしいと思わない金融機関に対しては、大きな不信感を抱かざるを得ない。利用者が信頼でき、安心して使えるサービスを提供する金融機関であってほしいと思う。
 
 本年2月より6月まで、金融庁が「偽造キャッシュカード問題に関するスタディグループ」(注6)を19回に渡って開催し、最終報告が出された。預金者保護をうたうのであれば、初期の段階で素早い対応が金融機関や協会にも求められるべきであり、また、預金者にセキュリティー意識を求める前に、金融機関の職員のセキュリティレベルを高める必要があるのではないだろうか。
 
 現在、偽造・盗難カード等に対する預金者保護の法律案(注7)が、衆議院に提出されているが、金融機関自体が十分な対応ができないのであれば、法律でしばるのも1つの方法かも知れない。
 
 
注1) BBC News 「Malaysia car thieves steal finger」
注2)静脈認証も安心できない? 大根で作った偽造指で認証に成功
注3)衆議院 財務金融委員会 2005年4月13日 第18号 議事録
注4)衆議院 財務金融委員会 2004年3月31日 第14号 議事録
注5)全国銀行協会「盗難通帳による払出し件数・金額等に関するアンケート結果について」
注6)偽造キャッシュカード問題に関するスタディグループ 
注7)
(1) 無権限預貯金等取引からの預金者等の保護等に関する法律案
(2) 偽造カード等及び盗難カード等を用いて行われる不正な機械式預貯金払戻し等からの預貯金者の保護等に関する法律案

<筆者紹介>内田勝也(うちだ・かつや)情報セキュリティ大学院大学助教授 兼 中央大学研究開発機構助教授
電気通信大学経営工学科卒。オフコンディーラーにてシステム開発、ユーザー支援等を担当、在日外国銀行でシステム監査、ファームバンキング技術支援などを担当後、大手損害保険会社にてコンピューター包括保険導入プロジェクト、情報セキュリティー調査研究等に従事。中央大学にて、「ネットワークセキュリティー」(修士課程)講師、情報セキュリティー人材育成プロジェクトの推進、21世紀COEにて事業推進担当等。情報セキュリティ大学院大学では、情報セキュリティマネジメントシステム、セキュアシステム実習を講義。 Computer Security Institute(CSI、本部:米国)会員、情報処理学会会員、ISMS審査登録機関 審査判定委員会委員長。

<関連リンク>
内田氏のホームページ
http://www2.gol.com/users/uchidak/
 

トラックバック

このエントリーのトラックバックURL
http://www.nikkeidigitalcore.jp/cgi-bin/mt/mt-tb.cgi/36

コメント一覧

メニュー