Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

磁気カードスキミングにご用心

考えてみた。

国内では久しぶりに磁気カードスキミングのニュースを見ました。この手の攻撃に感度が鈍い地方のATM施設が狙われた気がします。

www.nikkei.com

山梨中央銀行などは14日、偽造されたキャッシュカードやクレジットカードで不正に現金を引き出されたと発表した。現時点で計160万円の不正な出金が確認されたという。

(中略)


不正な出金は県内外のコンビニエンスストアなどに設置されたATMの取引で確認された。14日に偽造キャッシュカードで1件50万円が引き出された。偽造クレジットカードでもキャッシングなどの取引で計110万円(4件)が引き出されたという。

同行は12日、偽造キャッシュカードによる不正使用を検知し、14日午後3時までに16件を確認した。これらの顧客について調査したところ、偽造クレジットカードの不正使用による被害が判明したという。

偽造されたキャッシュカードはいずれも生体認証機能付きICキャッシュカードではなかったといい、同行では被害防止のためICカードへの切り替えも呼び掛けた。

 (日経新聞記事より引用)

 

キタきつねの所感

磁気カードスキミングの上で、複数犯(出し子)が偽造カードを使ってATMから現金を窃取する、小規模なATMキャッシュアウト攻撃の様です。

 

山梨中央銀行の発表では180万円(10/16現在)の被害が出ている様ですが、もう少し被害総額は膨らみそうです。

というのは、山梨中央銀行が被害を受けた記者会見の内容が記事になっているのですが、どうやら名前が開示されてない「他行」でも山梨県内のATMから不正出金されている様です。

※日経の10/14記事で「山梨中央銀行などは・・・」となっていた事からもそれは分かりますが。

www.news24.jp

 

ここまでの情報で何が推測できるか?と言えば、山梨県内に設置されたATMに磁気カードスキマーが仕掛けられたという事です。

 

山梨中央銀行ICキャッシュカードでは被害が出ていない」と言っており、ICキャッシュカードへの切替えを自行顧客に対して勧めています。この事から偽造カードにはICチップが付いてなかった=偽造磁気カードだったと推定されます。

この前提条件を考えると、磁気スキミングの機械(スキマー+小型カメラ等)がATMに物理的に取り付けられた位しか、攻撃の手法が思いつきません。

 

では、磁気スキミング機器(+小型カメラ又は不正PINパッド)が取り付けられてしまったATMはどこに設置されていたのでしょうか?まず被害を受けた方が集中している場所である事は間違いないので、山梨県内でほぼ確定になります。

ATMがよく設置されている場所として、A)銀行(本店・支店併設)、B)銀行の無人の出張所、C)コンビニ D)スーパーがあります。

 

詳しくは書いていけない気がしますので理由を端折って書くと、普通であれば、犯人は監視が緩い(スキマー設置が発覚しづらい)場所を狙いますので、C)やD)の設置ATMが怪しいのですが、C)やD)は他行カードやクレジットカード等もよく利用される金融機関の共用系端末となりますので、地域差があったとしても、1金融機関だけが大きな被害を受ける事は無いかと思います。(例えばメガバンク信金等も同じ攻撃に巻き込まれているはずです)

そう考えると、A)かB)なのですが、営業時間内は行員が傍にいる他、入口等に警備員が立っていて有人監視が厳しいA)である可能性は限りなく低いかと思います。

恐らくB)、すなわち山梨中央銀行の出張所(無人)のATMからのスキミングだったのではないでしょうか。

 

仮にB)が合っているとした場合、関連記事を読む限り、「磁気カードスキマー」が見つかってない(=犯人に回収されている)様ですので、犯人が”最大2回”、監視カメラに映っている可能性があります。スキマー設置時と回収時です。映像画質次第ではありますが(マスクが・・・)犯人逮捕は近いのかも知れません。

 

磁気情報を盗むスキマー、あるいは偽造磁気カードを作る部分に関しては、詳細は書きませんが、DarkWebで販売されているケースも多々ありますし、一般的なWebでも(注意深く探せば)本当に購入できるのかは分かりませんが、”販売宣伝”にたどり着く事ができます。

今回の事件に関して言えば、被害総額から考えると(比較的)小規模な犯行となりますので、そうした簡易的な「磁気スキミングキット」を購入した、あるいは自作で作ってしまった、比較的素人による犯行ではないかと推測します。

※仮にこうした事件に大規模な組織が関与する場合、もっと被害額(あるいは引き出し未遂件数)が大きくなるかと思います。

 

余談です。山梨中央銀行顧客向けの注意喚起をHPに出してました。ですが、、、本気で攻撃を受けるとは考えてなかった気がします。

f:id:foxcafelate:20201017070815p:plain

 

ATMに不正設置される磁気カードスキマーを検知する有力な手段は「人」です。銀行側も清掃や現金補充等でATMのチェックをしているかと思いますが、もし顧客が先に気づいてくれれば、被害が抑えられた可能性があります。

例えば、(意識が高い又は過去に被害を受けた事のある)他行ではどうしているか?と言うと写真付きで解説している所が結構あります。

各銀行も、こうした視認性の高い注意喚起にすべきではないかと思います。

※以下参考まで、各銀行の注意喚起写真を引用し、ご紹介します。

 

セブン銀行

f:id:foxcafelate:20201017071340p:plain

ローソン銀行

f:id:foxcafelate:20201017071529p:plain

新生銀行

f:id:foxcafelate:20201017071626p:plain


ビューカード

f:id:foxcafelate:20201017071707p:plain

 

私は金融系のセキュリティ(PCI DSS)が専門分野という事もあり、特にこの手の攻撃については国際会議等で色々な情報を見聞きして(海外警察は結構詳しく教えてくれます)、磁気スキミング手口に比較的詳しい方かと思います。さらに危険な情報を知りたい方は、別途お問い合わせ(foxcafelate@gmail.com)ください。

 

※日本でも2016年に南アフリカのスタンダード銀行の偽造カードの不正出金先としてセブン銀行等の日本のATMが集中的に狙われた事件がありますが、規模はまったく違いますが、今回の事件も(大まかな)手口としては同じかと思います。

jp.reuters.com

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

ATMを使う人のイラスト

 

更新履歴

  • 2020年10月17日 AM(予約投稿)