「磁気カードの弱点」突いたATM14億円引き出し

「磁気カードの弱点」突いたATM14億円引き出し

2016年5月30日 浪川攻 / 金融ジャーナリスト

 5月15日に発覚した偽造クレジットカードによる現金自動受払機(ATM)からの不正引き出し事件が注目されている。総額14億円にのぼる不正引き出し額の大きさのみならず、犯罪手口が特異であるためだ。

 不正利用された偽造クレジットカードは、南アフリカの銀行が発行したクレジットカードの情報が悪用されていた。そのカードを使って「出し子」と呼ばれる犯罪の共犯者が日本国内のATMで不正にキャッシングによる資金引き出しを行った。出し子の人数は100名以上で、同時に一斉に引き出し行為に動いた。

 わが国では現在、今回悪用されたような海外カードが利用できるATMは限られている。セブン銀行の、いわゆるコンビニATMと、ゆうちょ銀行のATMがその代表格だ。そのほかにも、セブン銀行以外のコンビニATMの一部も海外カードの利用ができるようになっている。今回の不正では、これらのATMが狙われた。

南アフリカの銀行の口座が狙われた

 今回、キャッシングされたのは南アフリカの銀行の預金口座に基づく磁気ストライプ型のクレジットカードであり、被害は同銀行の預金者ということになる。その損失額について、VISA、マスターなどの国際ブランドとカード発行企業、今回でいえば南アフリカの銀行が協議のうえで負担するというのが従来の慣行となっている。したがって、今回の犯罪では、日本の預金者や銀行は無関係だ。

 ところで、犯行のタイミング的に見て、今回の犯罪の背景にあるとみられるのが現在、世界的に進展しているクレジットカードやキャッシュカードのICカード化の流れだ。なかでも、クレジットカードについては、国際ブランドであるVISA、マスターなどが今年秋から来年をゴールとして、ICカード化を傘下のカード会社に促す戦略に出ている。

 これは「EMV方式」と呼ばれるものだ。具体的には、ATMを設置している銀行やカードリーダー(カード情報読み取り機)を設置している小売会社がICチップ対応せずに、セキュリティーレベルの低い従来の磁気ストライプ対応のみだった場合、従来の損失負担の慣行を踏襲せずに、利用窓口となったATM設置銀行やカードリーダー設置企業などにも損失負担させるという方向性だ。

2004年に撮影されたクレジットカード各種。この頃と比べ、日本ではICカード化が大きく進んでいる

2004年に撮影されたクレジットカード各種。この頃と比べ、日本ではICカード化が大きく進んでいる

 これは、カード利用の最前線において、セキュリティーレベルが劣る磁気ストライプカードの存続にストップをかけるという発想と言え、実際、磁気ストライプ型カードは急速にICカード化されている。

ICカード化が進むなかの「駆け込み犯罪」

 裏返して言えば、今回の事件は、世界的にセキュリティーレベルが向上する直前に行われた磁気ストライプ型カードを狙った「駆け込み的な犯罪」という見方が成り立つ。

 そのうえ、わが国で海外カードが利用できるATMを絞り込んで犯行に及んだわけであり、改めて、この種の犯罪集団のずるがしこさを認識できる。ちなみに、セブン銀行は、すでに自社ATMにはICカード対応を整えている。問題は、やはり、ICカード化の流れのなかにあっても、いまだに磁気ストライプ型の仕様にとどまるカードが発行され、存続している現状だろう。

 オマーンのマスカット銀行が発行したプリペイド式のデビッドカードの偽造カードによるATMからの不正な資金引き出しが、2013年に世界27カ国で同時多発的に行われている。これもセキュリティーの脆弱(ぜいじゃく)な磁気ストライプ型が活用された犯罪だ。この事件の被害金額は日本円に直して約46億円だった。

南アの銀行にハッキング ATM不正直前、引き出し承認消す?

2016/6/28 13:39

 全国17都府県のコンビニのATMで現金約18億円が一斉に引き出された事件で、顧客カードの情報が流出した南アフリカの銀行のシステムが不正アクセスに遭い、引き出しの直前にプログラムが誤作動を起こしていたことが28日、捜査関係者への取材で分かった。

 警察当局は国内外の犯罪組織が協力し、ハッキングでシステム異常を起こした上で、一斉に犯行に及んだとみて南ア当局と情報交換をしながら捜査を進めている。

 捜査関係者によると、引き出しには南アのスタンダード銀行発行の顧客カード情報が入った偽造カードが使われた。引き出しが行われた5月15日早朝の約3時間、同銀行のシステムには出金を承認した形跡がなかった。ハッキングで誤作動を引き起こして承認させた後、形跡を消去した可能性があるという。

 偽造カードの作成では、同銀行から流出した約3千件の個人情報が悪用されたことが既に判明。警察当局は犯行グループが事前に偽造カードを用意するため、個人情報もハッキングで不正に入手した可能性が高いとみている。

 事件を巡っては、各地で現金引き出し役の「出し子」や指示役が窃盗容疑などで逮捕されている。警察当局は高度なハッキングの技術を持つ海外の犯罪組織と連携し、国内の暴力団振り込め詐欺グループが関与したとみて全容解明を急ぐ。