ゴールドカードというかクレジットカードの磁気ストライプに何が記録されているのか気になったので、スキミングしてみる。
80年代、90年代なら個人がISO/JIS磁気カードリーダー/ライターを所持しようものなら偽造変造カードのあらぬ容疑をかけられそうだが、21世紀の今はアマゾンで3000円未満で磁気カードリーダーが売っている。
磁気カードリーダーMSR90 – アマゾン
https://amzn.to/3vIw8ib
どうやって使うのかよく分からないがとりあえず注文したら2日後に届いた。箱に本体しか入ってなくて、ドライバやユーティリティ類も付いてない。製造元と思しきサイトを見るとよく似た型番のユーティリティはあるが、ドライバの類は基本的には要らない様子。型番MSR90で探すとコンフィグレーションソフトはあるものの、なぜか届いた個体を認識しなくて使えない。
PCにUSBで接続すると「ピッ!」と鳴って赤いLEDが点灯。
持っているカードをスキャンすると「ピッ!」と鳴ってLEDが一瞬緑色になる。何か読み取りされたことが分かる。
デバイスとしては標準HID入力デバイスとして認識されているので、キーボードのエミュレーションがあるんだろうと思って、メモ帳を起動してもう一度スキャンする。
メモ帳にこんな感じで入力された。磁気ストライプの情報そのままキーストロークが生成される。まあそんだけといえばそんだけ。スキミングのためには何かデバイス制御のプログラミングしないといけないのかと思ってた。21世紀のスキミングにはUSBケーブルを正しいポートに挿せることと、メモ帳を起動するという極めて高度なスキルを要求される。
大阪にある ドルチェ楽器 の会員カード
% 13xxxx0000000000000000000000000000000000000000000000000000000000?
13xxxx の部分はカード表面のエンボスになっている番号と同じ
アパホテルのAPA CARD
%00000902xxxx( ?
0902xxxxの部分はカード裏面のAPA No.と同じ。
いろいろ試してみたら、厚みのある磁気カードはだいたい読み取れる。厚みの無いテレホンカードとかハイウェイカードとか駐車場のカードは読み取れない。
ICカードと違って、手動でシュッと読み込ませると「ピッ!」と鳴って楽しい。「クレカバトルゲーム」でも作って遊んだら楽しそう。(なおカード情報収集機能の実装は禁止)
ISOの3トラックやJISⅡにも対応していて、もちろんキャッシュカードもクレジットカードも読み取れる。磁気ストライプのデータにカードに印字されてる番号やエンボスと同じ値を含んでいることが分かる。クレジットカードを読み取った生データなんて危険すぎてPCに保存することすらはばかられるんで、伏字にしてもここには掲載したくないからしない。
磁気カードリーダーライター – アマゾン
https://amzn.to/3MkMLXb
ちょっと高かったから買わなかったけど磁気カードリーダーライターも普通に売ってるから、好きなようにカードの磁気データを書き換えることはできてしまうわけで、この手の会員カードは使用時にカードリーダーで読み取られるだけでカード表面の番号と照合もしないし、暗証番号などがあるわけでもないし、クレカやキャッシュカードでなければ偽造検出の仕組みを設けてない可能性が高くセキュリティがほぼ無い。ポイントカードだったらちょっと悪いこと試してもいいだろうはダメ。ゼッタイ。
—
基礎知識 刑法 – 国民のための情報セキュリティサイト – 総務省 より
https://www.soumu.go.jp/
■第161条の2(電磁的記録不正作出及び供用)
第百六十一条の二 人の事務処理を誤らせる目的で、その事務処理の用に供する権利、義務又は事実証明に関する電磁的記録を不正に作った者は、五年以下の懲役又は五十万円以下の罰金に処する。
2 前項の罪が公務所又は公務員により作られるべき電磁的記録に係るときは、十年以下の懲役又は百万円以下の罰金に処する。
■第168条の2(不正指令電磁的記録作成等)
第百六十八条の二 正当な理由がないのに、人の電子計算機における実行の用に供する目的で、次に掲げる電磁的記録その他の記録を作成し、又は提供した者は、三年以下の懲役又は五十万円以下の罰金に処する。
一 人が電子計算機を使用するに際してその意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき不正な指令を与える電磁的記録
不法無線局を開設して公共の無線を妨害すると五年以下の懲役又は250万円以下の罰金だから、磁気カードいじりのほうが罪としては軽いらしい。(どっちもやっていいというわけではない。)
の回想録 
ピンバック: の回想録