「彼らはこの問題を深刻に考えていない」（カムカー氏）禁断のクレジットカード「MagSpoof」、誕生のきっかけは予測できる再発行番号

1つのデバイスで複数のクレジットカードに成り済ますことできる“オープンソースハードウェア”の開発者が、そのきっかけとなったクレジットカードアルゴリズム問題を発見した経緯を米TechTargetに語った。

[Michael Heller，TechTarget]

この話、今のところAmerican Expressだけということになっているが。

　米American Expressが使用しているアルゴリズムに問題となり得る脆弱（ぜいじゃく）性があることをネットワークセキュリティの研究者であり“実践者”でもあるサミー・カムカー氏が発見した。カムカー氏は、この脆弱性によって古いカード情報に基づいて再発行したカードの情報を予測できたという。

　きっかけは、American Expressのカードを紛失したときに再発行した新しいカード番号だった。「再発行カードの番号が紛失したカードの番号と酷似していることに気が付いた」とカムカー氏は自分のブログで報告している。

　そこで、カムカー氏は他に所持していたAmerican Expressのカードや友人のAmerican Expressのカードと比較してみた。その結果、既に紛失したり盗難にあったりしたカードでも、完全なカード番号が分かれば再発行したAmerican Expressのカード番号を正確に予測できる普遍的なパターンが見つかったとカムカー氏は話している。

併せて読みたいお薦め記事

電子決済セキュリティにまつわる情報

• 「指紋データを盗まれても指紋は変更できない」問題に悩むセキュリティ業界
• 「Apple Pay」「Android Pay」で決済セキュリティが高まる説のホントとウソ
• POSレジの鍵を机に放置すると「PCI DSS違反」になるのか？
• クラウド選定で頼りにしたいセキュリティ認証の“お墨付き”
• モバイル決済導入で金融機関が抱えるリスクとは
• 「iPhoneでカード決済」を危険にしない3つのセキュリティ対策
• 「iPhoneのPOS端末化」急増、そのセキュリティ対策は？