Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

カード授受の脆弱性

この穴を突いてきましたか。。。偽造運転免許証を使ったクレジットカード不正授受の事件が報じられていました。

www.tokyo-np.co.jp

 

他人名義のクレジットカードで高級腕時計をだまし取ったとして、詐欺などの疑いで警視庁に逮捕された男らが、東京都内の高級マンションの集合ポストから郵便物を盗み、約五百人分の個人情報を集めていたことが捜査関係者への取材で分かった。男らはこの情報を基に運転免許証を偽造し名義人に成り済ましてクレジットカードを入手。二〇一七年末以降、少なくとも約千六百万円分を不正利用したという。

 捜査関係者によると、男らは目黒区などの高級マンションに、オートロックの共用玄関から住人が出入りするタイミングに合わせて侵入。マンション内側のポストから公共料金の請求書などを盗み出していた。ダイヤル式のロックは回転する際の音や感触を頼りに解錠していたという。

 男らは郵便物の氏名、住所などをパソコンに入力し、精巧な運転免許証を偽造。顔写真は詐欺グループのメンバーの画像を張り付けていた。偽造した免許証を使って銀行口座を開き、クレジットカードを契約していた。男らはカードが郵送される頃、マンション前で配達員を待ち伏せしたり、不在票をポストから抜き取り、郵便局で偽造免許証と共に提示してカードを受け取ったりしていた。

東京新聞記事より引用)

 

◆キタきつねの所感

今回の事件で狙われた脆弱点は、「共連れ侵入」「ダイヤルロック」「銀行口座の本人確認」等、いくつか考えられますが、カード授受の部分、すなわち郵便局窓口での(不在通知を使った)本人確認部分が狙われたと言っても良いかと思います。

 

郵便局の本人確認(運転免許証チェック)は、券面確認(写真)と、光源による(ICチップ)透かしチェックが実施されていますが、偽造免許証が使われる事を想定したセキュリティ体制にはなっていません。現場での局員の方の作業負荷を考えると仕方がない事かも知れませんが、今回の様な事件が多数発生する様であれば、抜本的に運用を見直す必要があるかも知れません。

 

因みに、抜本的対策として考えられるのは、運転免許証のICチップ情報を使った本人確認だと思います。

www.excite.co.jp

 

NFCスマホと「IC運転免許証リーダー」スマホアプリでIC免許証は、簡易的にチェックする事が可能です。

※偽造運転免許証ではICチップの中まで偽造に成功したという話は聞きませんので、精工に出来た偽造免許証であっても、窓口で見破る事が可能だと思います。

 

とは言え、IC運転免許証が登場してきたのは2007年ですので、時期から考えると郵便局は意図的にICチップでの本人確認を採用しなかったと推測されます。読み取りシステム構築の費用を考えて、あるいは現場の運用が煩雑になるから・・というのが理由かも知れませんが、こうした事件が多発するのであれば、社会インフラの要たる郵便局の信用にも響いてくるかも知れません。

 

今年に入ってからの「偽造運転免許証」に関わる記事を見ても、毎月の様に記事が出ている事がわかります。こうした状況を考えれば、郵便局の「簡易チェック」に対するリスク(閾値)は上がっていた事を気づけたかも知れません。

 

■2019/4/15 中国新聞記事

www.47news.jp

■2019/3/20 産経記事

www.sankei.com

■2019/2/19 日経記事

www.nikkei.com

 

 

 

余談ですが、システム導入を考えないのであれば、、、下記の記事の様に局員(従業員)を”教育する”事から始めるのも良いのかも知れません。

www.kobe-np.co.jp


同署によると、偽造免許証は兵庫県公安委員会の記名や公印も似せられて精巧だったが、レンタカー店の女性事務員が免許証のコピーを見た際、12桁の番号にある都道府県の管理番号が兵庫県でなかったため気付いたという。男は4月3日に再び同店を訪れ、店員が通報した。

神戸新聞記事より引用)

 

偽造運転免許証(ID証)は世の中に出回っている。その認識の上で、セキュリティ体制を見直す必要がある組織は多いのではないでしょうか。

 

 é転å許証ã®ã¤ã©ã¹ãï¼ç·æ§ã»ã´ã¼ã«ãï¼

 

更新履歴

  • 2019年4月15日AM(予約投稿)