Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

カードスキマーは進化中(Part2)

海外事件 つぶやいてみた。

ICカードだからスキミングは大丈夫」とは言えないと改めて感じる、スキマー攻撃事例がKrebs氏の記事に出ていました。

krebsonsecurity.com

スキミングに関連するあらゆるものの完全な吸盤として、私は最近、いくつかの店舗の決済カード端末の上にBluetooth対応のスキミングバイスが配置されているのを見つけた米国の小売チェーンのセキュリティを担当している読者から聞いて興味がありました。興味深いことに、これらのスキマーは、チップベースのカードを読み取る端末の機能を妨害し、代わりに顧客にストライプをスワイプさせました。

(Krebs on Security記事より引用)※機械翻訳

 

キタきつねの所感

このブログ記事をご覧になっている方の中は、カード系のセキュリティには興味が無い方もいらっしゃるかと思いますが、私の専門がPCI DSS(カード情報を守るセキュリティ)であるからだけではなく、みなさんが外出した際などカードを利用するシーンで「そろそろ出逢ってしまう」可能性があるかと思いますので、少しお付き合いください。本日はカードスキマーの話となります。

 

スキマーとは、キャッシュカードやクレジットカード(デビットカード)の情報を不正な機器で読み取る装置の事で、主に偽造カードを作成する目的で店舗のATMやPOSレジ等の正規機器に、気づかれない様に装着されます。

ECサイトからカード情報を窃取する事を目的とした「デジタルスキミング」「オンラインスキミング」「eスキミング」「Webスキミング」等と呼ばれる、JavaScript等の不正なプログラムをECサイトに仕掛ける攻撃とは違い、物理的にカード情報を読み取る機器が存在します。

 

たまに海外でニュース等で報じられていますので、それらを見聞きした方も多いかも知れませんが、残念ながら日本では、模倣犯を恐れてか、ほとんどその詳細(機器や手口)が報じられていません。

あまり国内ニュースとならない別な理由として、ICカード化(EMV化)が進んでいる事もあるかと思います。スキミングは磁気カード情報を窃取する古くからある攻撃なので、この攻撃リスクはあまり高くないと考えられているのかも知れません。

 

※少し前に”流行った”磁気スキマーの例を、新生銀行が写真付きで解説していますので、こちらを見ると「スキマー」とは何であるかが理解できるかと思います。

f:id:foxcafelate:20210217054155p:plain

 

前置きが長くなりましたが、Krebs氏の記事にある「スキマー」は、ICカードからでも、カード情報が窃取されてしまう可能性があるものです。

※以下、Krebs on Security記事より写真を引用します。

記事では小売り店と書かれていますので、清算する機械のカード情報(PIN)を入力する画面に粘着テープで装着されるタイプのスキマーの様です。

※右側が携帯に使われるバッテリー、真ん中が偽PINパッド(押されたPIN=暗証番号も感圧で窃取)、左側がBluetooth回路で、盗んだ情報を外部の攻撃者に転送する機能となっている様です。
Bluetooth機能がある事によって、犯人はスキマーを回収する必要が無く、スキマーを仕掛ける時だけ小売店の環境に侵入するだけで良くなります。

 

ここまでであれば、過去にも似たような機能のスキマーがありましたが、今回のスキマーはもう1工夫されています。

それが、ICチップ(EMV)読み取りの無効化コンポーネント(指で指している部分)です。ICクレジットカードを差し込んで取引をしようとしても、物理的にICカードが読めなくなり、(カード会社や店舗側POSの設定に拠るのですが)磁気カード取引が要求され、このスキマーで磁気情報が窃取されてしまう事になります。

通信プロトコルで強度の弱い暗号化アルゴリズムを強制(ex: TLS1.2 > SSL3.0)し、既知の脆弱性を突いて通信を傍受する「ダウングレード攻撃」と同様な攻撃と言えます。

 

例えばセルフレジ等で、この様にICカードが利用できなかった場合は、まず店員に「故障」について尋ねる事(=そのまま取引を継続しない)が有効かと思います。

とは言え、無人店舗の端末で遭遇してしまう事もあるかも知れません。そうした場合は、磁気取引の要求を無視して「別な端末」を利用する(又は利用を控える)方が良いかと思います。

こうした不正機器について、店舗(銀行等の金融機関)側もチェックしているはずですが、コロナ禍で無人店舗やガススタンドのセルフレジ等への巡回が減ってている可能性もあり、海外だけでなく、日本でもこうした攻撃には留意が必要です。

 

因みに、匿名を条件に写真を提供した小売店の環境では「数週間このスキマーが検出されなかった」と記事には書かれていました。

こうしたスキマーは本物そっくりに作られている事も多く、出っ張り等の不自然さ(=見分けるポイント)はいくつかあるものの、一見気づかない出来です。

 

Krebs氏は、カードスキマーの写真付き記事を多数書いていますので、「見分け方」等にご興味ある方は、以下の記事もご覧になる事をオススメします。

How to Spot Ingenico Self-Checkout Skimmers — Krebs on Security

Self-Checkout Skimmers Go Bluetooth — Krebs on Security

More on Bluetooth Ingenico Overlay Skimmers — Krebs on Security

Safeway Self-Checkout Skimmer Close Up — Krebs on Security

Skimmers Found at Walmart: A Closer Look — Krebs on Security

 

参考:当ブログの過去記事

foxsecurity.hatenablog.com

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

カードリーダーにカードをスワイプする人のイラスト(男性)

 

更新履歴

  • 2021年2月17日 AM