小学生でも、他人のdポイントやpontaポイントを簡単に盗めます。
そんな方法(=セキュリティーホール)に気がつきました。
前の投稿に記したように、私のdポイントが抜き取られたことを契機として、いろいろ考えました。
ここで手口を書くとマネする奴が出て来るかも知れない……とも思ったのですが、
「いやいや私ですら思いつくのだから、世の中の犯罪者は、とっくの昔に気がついている」
はずです。
善良な市民が自己防衛するために、そして、ポイント業者が、ビジネスモデルの「落とし穴」を、ただちに解決することを促す材料として、公開します。
今回、dポイントを抜き取られたdポイントカードですが、バーコードを読み取るだけでポイントを店頭で使える形式になっています。
つまり、
正規の番号さえ判明すれば、犯罪者はバーコードを偽造して、
本物のdポイントカードの裏面に貼るだけで盗めるのです。
このカードをマツモトキヨシ等の店頭で提示して、換金性の高い商品、たとえば日本製の化粧品などを大量買いできるからです。
バーコード方式のポイントカードは、同様の犯罪手口に無力です。
pontaも同様。危険です。
以下、小学生でもできる手口について、解説します。
まず、正規の会員番号の収集方法です。
店頭に配布用として「自由にお持ちください」と、生カードの付いた申込書が置いてあるケースを見かけたことがある人も多いでしょう。
犯罪者は、その生カードの番号を写真orメモして帰ります。
1年ぐらい経ったら、他人が1年掛けて貯めたポイントを、収穫するのです。
正しい番号は分かっているし、そこに1年分のポイントが貯まっていることも分かっています。
あとは、ターゲットの会員番号をバーコード化するだけです。
バーコード印刷は、一部のパソコンは対応していますし、バーコード印刷のフリーソフトも出回っています。
(バーコードには規格が数種類ありますが、dポイントでは「NW-7」規格を使っています。
スタートキャラ/ストップキャラはともにD。
Dポイントだからでしょうか。
会員番号の頭と尻にDを付けてバーコード化するだけ。
暗号化すら、されていないのです。
このユルさ、NTTドコモのセキュリティ意識の欠落を示す傍証かも)
犯罪者が偽造するバーコードは、正しい番号をもとに作製されているので、店頭で怪しまれることはありません。
犯罪者は、頭も何も使う必要がないのです。
この手口なら、会員番号の解析をする必要すら、ないのですから。
番号をいくつか集めてチェックディジットを解析し、次々に会員番号を作製する……というのが高校生レベルの手口だとすると、今回書いたのは小学生でもできる手口ではないでしょうか。
(もっとも、私が被害に遭ったのは、この高校生レベルの手口のほうだと思いますが……)
つまり要するに、
(1) 店頭で生カードを配布するビジネスモデルそのものがアウト
なのだ、ということです。
(2) バーコードをレジで読む方式のカードは、ポイントを盗まれる、ということです。
バーコード方式のポイントカードに共通するセキュリティホールの存在を認識し、自己防衛するしかありません。
PONTAポイントは、「会員ID」の頭にB、尻にAを付け、バーコード化しただけです。
PONTAも同じ欠陥を抱えているのです。
また、楽天ポイントカードは、表側には会員番号の印刷はなく、ほんの少しだけセキュリティレベルは強いのですが、やはり裏面にはバーコードがあり、「ポイントカード番号」の頭と尻にAを付け、バーコード化したものを見せると買い物ができてしまいます。
ポイント業者は、火急的にバーコードでポイントを使える欠陥を凍結すべきだと思います。
しかし、バーコードだけでなく、磁気データであれ、手打ちで会員番号を入力するのであれ、とにかく会員番号だけでポイントを使えてしまう点こそが諸悪の根源です。
ここをなんとかしないと、問題の根本的な解決には至らないと思います。
以上の手口に対して、
利用者自身でできる対策は、ありません。
ポイントを貯めないことが、唯一の対策です。
こまめに使い尽くすこと。
それでも私のように被害に遭ったら、被害額が少額でも、ポイント業者に電話すること。
(このような電話が殺到することによってしか、システムの改善は計られないはずだからです)
最後に犯人へ告ぐ。
盗んだポイントを返してください。
Posted at 2018/09/18 07:10:35 | |
トラックバック(0) | 日記