コツコツためていたはずのポイントが、ある日突然消えた?
8月以降、NTTドコモの「dポイント」を中心に、不正利用の被害に遭った人たちの悲痛な声がSNS上で散見された。日常的に誰もが使うカードに何が? その陰には思いも寄らぬリスクが潜んでいた!
■ネットとの連携で新たなリスクが生まれた
代表的なものだと、Tポイント、Ponta、楽天ポイント、dポイントなど、今や多くの人が日常的に使っているポイントカード。サイフの中に数枚入っている、という読者もいるだろう。
ところがこの夏以降、dポイントカードの利用者から、「あるはずのポイントが消えた」という声がSNSなどで次々に上がった。カードを紛失したり、落としたりしたわけではない。いったい、何が起こったのか?
「原因はコンビニ大手ローソンのサーバーが不正アクセスを受け、情報が漏洩(ろうえい)したことによるものです。ローソンはdポイント加盟店で、その漏洩した情報の中に、dポイントのカード番号と残高情報が含まれていたのです」
こう語るのは、インターネットのセキュリティに詳しいITジャーナリストの三上洋氏だ。しかしカード番号と残高が漏れても、カードそのものは利用者の手元に残ったまま。それがなぜ「ポイントの消滅」につながるの? 以下、三上氏に詳しく伺った。
「まずポイントカードの仕組みから説明しましょう。ポイントカードは、利用者の来店や購入額に応じてポイントが付与されますが、その読み込みにはカードに印刷されたバーコードが広く用いられています」
確かに、店頭の端末で読み込んでいるのを見かけるが、バーコードがあるのはカード本体だ。番号だけの流出なら、大丈夫じゃないの?
「実はそのバーコードはカード番号をそのままバーコード化したものなのです。つまり、ある程度の知識があれば、カード番号からバーコードを生成できるのです」
え、てっきりカード番号とは別の暗号化されたデータだと思ってた......。
「ポイントカードを実店舗だけで利用する時代なら、大きな問題にはなりませんでした。利用者も『カードを落としたら、誰かに使われる可能性がある』くらいのことはわかります。しかし、このポイントカードの仕組みがネットを使ったサービスと連携したことで、新たなリスクが生まれたのです」
それがdポイントカードの不正利用につながったということか。
「犯人とすれば、今回のようにカード番号と残高がセットになった情報が手に入れば、あとはカンタンです。例えばポイントカードの公式アプリを装った画面をスマホに用意し、そこに盗み取ったカード番号から生成したバーコードを表示してお店のレジで提示すればいい。
ほかにも、スマホのカメラを使い複数のポイントカードのバーコード部分を読み込んで保存し、必要に応じて表示させる『ポイントカード集約アプリ』を利用することも考えられるでしょう。そして本人のふりをして使うのです」
そういえば最近、一部店舗のレジに「ポイントカード集約アプリでのご利用はできません」という注意書きを見るようになったけど、それが原因なのか......。
「それだけではありません。さらに堂々と正規の利用者に成り済ます、という手口もあります。ポイントカードの中には、手持ちのポイントをほかのポイントに移行できるものがある。犯人はこの仕組みを悪用するのです」
それは、具体的にはどんな手口?
「例えば、情報が流出したポイントカードがドラッグストアのポイントカードと提携していたとします。その場合、犯人はそのドラッグストアから未登録のポイントカードをもらってウェブで会員登録をし、そこに流出したカードのポイントを移行させます。そうすれば犯人は、ドラッグストアのカードの"正規利用者"として、店頭で堂々とポイントを使って買い物ができるのです」
ひえー、悪知恵が働くというかなんというか......。
「ポイントを通販サイトで使うと、どうしても『商品の送り先』という情報が残って足がつきます。しかし、このドラッグストアの例のように、犯人が店頭で買い物して商品をそのまま持ち帰ってしまったら、後から追跡することは困難です」
■セキュリティ対策を十分なものにするのはほぼ不可能
つまり、犯人はカード所有者にはまったく気づかれずに、堂々とポイントを使うことができてしまうのだ。
「やはりポイントカードというリアルの買い物に使うものをネットと融合させたことが問題です。カード番号はカードの表面に書いてありますし、その番号を暗号化することなく生成したバーコードで利用できますから、カードそのものにセキュリティ的な防護策はないに等しいのです。番号が流出しただけで、ほかの誰でも利用できてしまうわけですから。
その流出のリスクを高めているのが、ポイントの相互乗り入れをしている会社の情報の持ち合いです。自社だけが使うポイントシステムなら、その規模に応じたセキュリティ体制をきちんと確保し、不正アクセスなどに備えることも可能でしょう。
しかし大小多くの会社が情報を共有することになると、セキュリティへの意識の差などからどうしても弱点は発生してしまいます。犯人は巧みにそこを突いてくるわけです。
また、今は各種ポイントをまとめて、電子マネー、航空会社のマイルなどと交換する『ポイント交換サイト』も人気を集めています。こうしたポイント交換サイトは別々のポイントを同一の航空会社のマイルに交換したり、期限が切れそうになったマイルを別のポイントに移行して、有効利用できるなどのメリットがあります。
ただ、なかにはマンションの一室で運営されているような会社もあります。これもセキュリティを考える上では弱点になりますね」
では、こうしたポイントカード不正利用について、運営会社が取れるセキュリティ対策はあるのだろうか?
「結論から言えば『ない』でしょう。繰り返しますが、ポイントカードは『本人の持参、提示』というアナログでセキュリティなど考えなくてよかった時代の仕組みを、ネットと融合させているところに弱点がある。
番号の記載を磁気情報にする、バーコードにする、QRコードにするという対策を取っても、プロの手にかかればいずれもカンタンに読み取ることができます。また番号を暗号化するにしても、ある程度のサンプル数が集まれば、悪巧みをする連中はその暗号化のパターンをたやすく見破ることができます。
十分なセキュリティ対策を取るには、ポイントカードをICチップ付きにして、情報をICチップに書き込むという方法くらいしかありません。しかし、そうなるとカードからリーダーまで、システムをイチから作り直すことになります。ここまで普及してしまったものをすべて捨て去って再構築するのは、ほぼ不可能でしょう」
カード番号を暗号化したところでプロには見破られてしまうというのは驚くばかりだ。もちろんポイントカードを運営する会社は、現在のシステムが抱えるこうしたリスクについて、当然、把握しているはず。しかし、そのリスクがカード利用者に周知されていないのは、怠慢といえるのではないだろうか?
■ポイントカード集約アプリの利用は避けるべき?
では不正利用されないよう、自分たちが身を守る方法があるとしたら?
「まず何より大切なのはIDとパスワードを使い回さないことです。複数のサイトでIDとパスワードを共用していると、そのどこかで漏洩が発生したときに自分の使っているネット上のサービスがすべてリスクにさらされてしまうからです。
そしてカード番号を人に知られないこと。番号が印刷されたカード表面を撮影するだけで偽造カードが作れますし、SNSにアップロードした写真にたまたまカードが写り込んでいた......というのも論外でしょう。
またポイント交換サイトも、利用においてはそのリスクに注意を払ってください。ポイントという現金にほぼ等しいものへのアクセス情報を、サイト運営会社に伝えるわけですから。
さらにはポイントカード集約アプリなど、一見便利に見えても裏でどのような通信が行なわれているかわからないものについては、利用を避けたほうがいいと思います。
最後に、これはポイントカードの役割をある意味否定することにもなりますが、ポイントをため込みすぎないことです。数万単位など、まとまったポイントをためていると、万一情報が漏洩したときに犯人に真っ先に狙われることになります。もしためているポイントが1000、2000ポイント程度なら、狙われる確率は下がるはずです」
ポイントカード情報は「漏れるかもしれない」と肝に銘じて、自衛するしかないってことか。