銀行のATMで盗撮カメラを設置して暗証番号とカード番号を盗み撮りして、現金を盗むと言う事件が多発している。銀行は非を認め、全額保障するらしい。と、ここまでは詳しく報道されているのだが、「カード自体は全く盗まれていない」と言うことは殆ど伝えられていない。
窃盗団は、カードを盗むのではなく、偽造して使ったのだ。つまり、支店名と口座番号の十桁程度の数字番号さえわかればクローンカードを作成できると言うことだ。
当たり前と思うかもしれないが、クローンカードの作成はそれほど簡単ではないはずだ。カード上の磁気情報は高度に暗号化・冗長化されていて、そう簡単に口座番号から磁気情報を生成できないようになっているからだ。カードの磁気情報は磁気テープの面積からして、かなり少なめに見積もってもフロッピーディスクの百分の一程度はあろう。さらに、安全のために10個のコピーを書き入れておくことにしても一万字程度はデータとして入っていることになる。この中に、口座番号を暗号化して埋め込められている。
一万字のうち、口座番号以外の文字は、口座番号から決定される乱数のようなものにしてあるはずだ。口座番号が違えば、残りの数字列も違うため、口座番号だけわかっても、磁気情報を簡単には生成できないようになっているはずなのだ。
にもかかわらず偽造カードが作られたということは、この冗長化された数列生成のアルゴリズムがどこからか窃盗団にリーク(漏洩)されたということだ。
漏洩ルートは二つあって、一つはカードのシステムを作っている会社の従業員か、元従業員が売り渡した可能性。もう一つは窃盗団が多数の盗難カードの磁気情報を解析して暗号化アルゴリズムを特定した可能性。窃盗団はワールドワイドなものである可能性が高いのでどちらの漏洩ルートも否定できない。
自分はだいぶ前から暗証番号打ち込みに際して回りから見えないように反対の掌で覆っている。しかし、こういう漏洩の可能性が一切報道されてないのは非常に不思議だ。