クレジットカード業界のセキュリティって周回遅れ

広告

セキュリティを研究している人と、セキュリティが必要な業界で働いている人の温度差が大きすぎる。

楽天カードが「暗証番号照会」サービスを開始して、解約を検討する人が続出中』という記事があったので、ついでだからつぶやいてみる(Twitter代わり)。

クレジットカードの数字は通常16桁、AMEXやDinersは15桁や14桁しかない。最初の何桁かはクレジットカード会社を表すコードである。例えば最初が3はJCBとかAMEXとかDiners、4がVISAで5がMasterなど。AMEXだと最初が3761なのかな。とにかくたった16桁しかない最初の4桁はほぼ意味のないものになる。調べようと思えばすぐにわかることだからね。

最後の1桁は通常はチェックディジットだから、これも計算式を知っている人にとってはないも同然。これだけでも16桁のうち5桁までは意味のないもので、たかだか11桁の数値に過ぎないことがわかる。AMEXの場合だとカード発行回数のカウンタとか他にもあまり意味のないものもあるので実は8桁くらいしか機能していないかも知れない。

クレジットカードのセキュリティを守るものとして、他に有効期限やCVV2(Card Verification Value)があるけど、これもちょっとした数字に過ぎない。また、どういうわけかこれらがなくても決済が通る場合もあるみたい。特にカードを落とした場合にはほとんど対策がとられていなくて他人でも簡単に使うことができる。サインを求められるけど、サインとカード裏のサインが一致しているか確認する店員はほとんどいない。また、規約違反だけど家族とか他人名義のカードを堂々と使っている人を見たこともある。

今回の楽天の件は確かにセキュリティ上はよくないことだけど、セキュリティに疎いのは別に楽天に限らずクレジットカードや銀行業界全般の問題だと思う。これだけIT技術が進歩したのに銀行のキャッシュカードは相変わらず暗証番号4桁である。一方でセキュリティ屋はハッシュの強度が128ビットだと思ったら80ビットしかなかったでござるとか、そういうことで議論している。

クレジットカードはたくさんあるけど、突き詰めれば大きく5つのブランドになるらしい。だとすれば、こういう大手が、できれば単独ではなく全部のグループが一堂に会して議論して新しいセキュリティの基準を作ってそれを推し進めれば案外簡単に切り替わるのではないかと思う。昔はクレジットカードもカーボン紙に写し取っていたのに、いつの間にかに磁気カードやICカード化しているのだから、そうやって現代の技術で十分にセキュアで本人認証がきちんとできるものを作って普及させるべき。

てなわけで、楽天を擁護はしないけど、楽天を避けたからってクレジットカードが安全になるわけじゃないよなーって話。

広告