スキミングの補償

生体認証 ICカード

2005年1月26日

最近スキミング(Skimming)被害の報道が多くなっている。では、スキミング(Skimming)とは何だろう?

  1. まず、隠しカメラや暗証番号キー付きロッカーで客の暗証番号を読み取る。(摘発されたグループには、ゴルフ場支配人が含まれており、貴重品ロッカーのマスターキーで客が入力した暗証番号を知ることができた)
  2. 次にロッカーにあったカードを客のいない隙に抜き取る。
  3. それをスキマーという機械で偽造し、銀行のキャッシュディスペンサーで金を引き下ろす。暗証番号がロッカーで使った番号と一致した場合、これがまんまと成功してしまう。(最近まで、この番号が一致する確率は50:50ぐらいだったが、事件報道後は30:70ぐらいになっているらしい。あんなことがあっても、まだ30%は同じ番号を使っているのだ)
  4. キャッシュカードはゴルフのプレー中に元の場所へ戻されるので、犯行が発覚するまでに時間がかかる。

先週、はじめて犯行グループが捕まって手口が明らかになったが、問題は被害者に過失があったかどうかである。銀行側は現在、被害の補償をしていないが、貴重品保管庫の暗証番号を銀行の暗証番号と同じにしただけで被害者の過失と言えるだろうか?

アタシは過失じゃないと思う。もしもこのケースで被害者に過失があったとすれば大事だよ。だってね、Yahoo! とかジャパネット高田で顧客情報が大量に流失した事件があったでしょ。それらは顧客情報が流出したことが報道されたけれども、「ハッキリしないけど、顧客情報が流出したかもしれない」というケースや、顧客情報の流出を隠しているケースがあるはずだ。

でも、報道されない限り、顧客情報の流出はわからないから、どこで使った暗証番号が銀行の暗証番号と一致したかわからないケースが出てくる。そうなるともう、暗証番号なんてものは信用できない。指紋も偽造可能だからダメ。声紋だって録音できるからダメだ。

映画【Mr. インクレディブル】を見た人はエドナ・モードが研究室の扉を開けるシーンを見たよね。まず目の虹彩認証システム、次に声紋認証システムで鍵を開けていた。近い将来、銀行のキャッシュディスペンサーはあんなカンジになるかもしれない。

生体認証システムというらしいが、少なくとも暗証番号だけでキャッシュディスペンサーを利用することはできなくなるだろう。仮にできたとしても、銀行が IC カードを導入済みなら自己責任を問われかねない。

東京新聞 (1月26日)より

対策の多くは大手行を中心に一部で導入済み。「保険付き預金」は、東京三菱銀行が昨年十月から、手のひらの静脈で本人確認する生体認証(バイオメトリクス)を取り入れたICキャッシュカードで実現。生体認証登録者に限り、一億円まで補償。年会費は一万五百円と高いが、近く補償限度額が一千万円または百万円で、年会費を引き下げた廉価版を発表する。

一日あたりの引き出し限度額を任意設定できるシステムは三井住友銀行が導入済みで、UFJ銀行もICカードの登録者を対象に実施。みずほ銀行も普通預金のICカード化後、今年上半期に導入の予定だ。

だが、資金のない地方銀行では、不完全な「保険付き預金」を採用するかもしれない。そうすると今度は、その保険金をだまし取る「スキミング狂言詐欺」が出てくるだろう。カラクリはこうだ。

  1. まず、不法入国外国人を雇う。
  2. 雇った人間を変装させる。(捜査をより困難にするため)
  3. キャッシュカードで普通に現金を引き出させ、安い手数料を払う。
  4. 不法入国外国人が出国してから被害の届け出をする。
  5. 保険金をだまし取る。

アタシでも考えつくぐらいだから、不完全な「保険付き預金」はあっと言う間に破綻する。これはスキミングより簡単だ。できるだけ早く「生体認証システム」を導入した方がいい。だいたいねー、国民の血税で破綻を免れた銀行があるわけだよ。公的資金とか言ってね。預金者の保護ぐらい銀行が当然するべきなんだ。生体認証システムを導入するまでの期間ぐらい、銀行側で補償してやれよ。

1月29日続報

みずほ、郵貯、三井住友が今年中に人差し指の静脈で本人確認する生体認証 ICカードを導入するらしい。なお、この方法は東京三菱銀行の手のひらをかざす認証方法と互換性がない。