昨日、ブルックリンの連邦検察は、国際的な窃盗団が史上最大のATM詐欺事件で約4500万ドルを盗んだことを明らかにしました。この強盗にはハッキングと綿密な計画が必要だったため、報道機関や警察はこれをハイテクで「巧妙」だと評しています。しかし、実際にはそうではありません!米国、そう、まさに米国が取引セキュリティの面で時代遅れであり、50年前の技術に頼っているため、このようなことが起こり得るのです。
一体どうやって?ハッカーたちはまず、ギフトカードのようなプリペイドデビットカードを扱うインドの企業のシステムに侵入した。彼らはカードの引き出し限度額(通常は数百ドル)を引き上げたり、撤廃したりし、この新しい不正カードの身元情報をメモに書き留めた。ここまでの窃盗はすべてデジタルで行われ、金銭ではなく情報の改ざんと窃盗が行われた。金銭の部分は、数十年前から使われている磁気ストライプ技術によって得られたものだ。
犯人は磁気カードリーダー/ライターを持っていたようだ。ホテルが磁気式のルームキーにコードを刻印するのに使うのと同じものだ。磁気ストライプ付きのカードなら何でも――古いクレジットカード、ホテルの鍵――いや、運転免許証だって使える(自分の免許証は使いたくないだろうが)――を使って、この新しいデータを刻印した。これで古いクレジットカードが有効化され、ATMからほぼ無制限に現金を引き出せるようにする偽造コードが埋め込まれた。
犯人たちはこれらの新しいカードを世界中に送りつけました。数十人、おそらく数百人の仲間が、合図とともにATMを攻撃しました。マンハッタン全域、そして24カ国以上で、高級ギフトカードを装った古いカードから現金が引き出されました。その現金は、マネーロンダリングの目的で、ロレックスや車といった高価な品物の購入に使われました。何より素晴らしいのは、最初のハッカーたちが、自分たちが考案したコードそれぞれでどれだけの金額が引き出されているかを正確に把握できたことです。仲間たちは誰もスキミングをすることができなかったのです。
検察官はこれを映画『オーシャンズ11』に例えたが、実際には、泥棒たちがカジノのセキュリティシステムを破壊し、フロアにあるすべてのゲームに不正操作を加え、狂乱的な襲撃を引き起こす映画『オーシャンズ13』に近いものだった。
なぜこんなことが可能なのでしょうか?実は、磁気ストライプカードは1960年にIBMによって発明され、1970年に大量生産されました。
磁気ストライプカードは、鉄をベースとした微粒子の磁気を変化させることで機能します。まるでウーリー・ウィリーのようなものです。200ドル程度で購入できる安価なリーダー/ライターでデータを消去したりリセットしたりできます。通常、磁気ストライプ式プリペイドカードにはPIN番号が付いていますが、今回の盗難のように、犯人がカードとPIN番号を作成した場合、PIN番号だけではセキュリティは確保されません。
他の先進国ではほぼすべてが何年も前に磁気ストライプ カードを廃止しており、多くの国ではその技術よりも数世代先を進んでいます。英国やヨーロッパの多くの国では、正しくは EMV (「Europay、MasterCard、Visa」の略) と呼ばれる「チップ アンド PIN」カードが主流です。これは通常のプラスチック カードですが、通常の 4 桁の PIN と組み合わせて認証として機能する小さなコンピュータ チップが埋め込まれています。EMV システムは磁気ストライプ カードよりはるかに安全で、フランスに導入されたときにカード詐欺が 80% 減少しました (ちなみに、EMV は 1992 年に導入されました。20 年前のフランスは現在の米国よりも進んでいました)。利点は、単純な磁気ストライプを読み取るよりもはるかに高度な認証であり、DES (データ暗号化標準) などの実際の暗号化プロトコルが組み込まれていることです。
EMVシステムの最大の脆弱性は?それは磁気ストライプが残っていることです。EMVカードには磁気ストライプが付いているため、チップを読み取れない米国のような低速で低速な国でも使用できます。EMVシステムに対する唯一の真のハッキングは、チップではなく磁気ストライプから情報を転送することに依存しています。
日本の現在の標準はソニー製の FeliCa です。これは RFID チップなので非接触であり、さらに高度なセキュリティの恩恵を受けています (ソニーは次世代の FeliCa 標準では AES (Advanced Encryption Standard) を使用すると発表しました)。
将来はどうでしょうか?いや、未来どころか、今まさにデジタルウォレットが海外で普及し始めています。日本では、おサイフケータイは、日本の携帯電話会社NTTドコモの携帯電話にFeliCaを搭載しています。(まるでVerizonの携帯電話にVisaの情報が全部入っているようなものです。)このシステムは、近距離無線通信(NFC)を使って取引を開始します。POS端末に携帯電話をタッチし、暗証番号を入力すれば、お金が送金されます。NFC自体は新しいものではありません。最新のAndroidスマートフォンや多くのWindows Phoneに既に搭載されています。
では、なぜアメリカはこれほど遅れをとっているのでしょうか? インフラが大きな要因です。日本やイギリスのような国はアメリカよりもはるかに小さいため、古いPOS端末やATMをすべて交換するのは容易です。もう一つの問題は、アメリカの銀行が新しいインフラへの投資にあまり関心がなく、アメリカ政府が銀行にやりたくないことを強制するのが非常に難しいことです。
現代の強盗の多くは、昔ながらの手口に頼っています。驚くべきコンピューターハッカーのような窃盗犯は、決して一般的ではありません。世界で最も成功した宝石強盗団「ピンク・パンサーズ」は、強盗を繰り返す強盗集団です。そして、このカード詐欺にはハッキングが必要ですが、米国の取引システムがAmazonで購入した商品で無効化できる何十年も前の認証システムに依存していなければ、このようなことは起こり得ません。
