アカウント名:
パスワード:
銀行に防犯カメラが山とあるのは知ってると思うんだけどなぁ。
ICチップの変造までやっているとは思えないので、磁気キャッシュカード+暗証番号で暗証番号はATM内にあったのではないかと妄想。
暗証番号はATM内にあったのではないかと妄想。
ATM解析用ログだそうです。http://itpro.nikkeibp.co.jp/article/NEWS/20140205/534910/?P=2 [nikkeibp.co.jp]
いまのキャッシュカードには暗証番号含まれていないはず。あと、浜銀のカードはICではなかった。少なくとも手元にあるカードは磁気ストライプのみ。
磁気カードの仕様は銀行共通だろうから、dumpした中身からカードを偽造したのかな?暗証番号も同じくdumpした中身や伝送路のキャプチャデータから解析した?暗号化ないのかは気になるけど。ATMや銀行システムを作っている側からのアタックなんて防ぎきれないよ
浜銀は(少なくとも5年以上前から)ICりかつ指静脈認証対応です。
ちなみに、富士通フロンテックはUFJ銀行等で使われる、手のひら静脈認証の装置 [fujitsu.com]を作ってます。
ええ、カード内に暗証番号入ってないのは知ってます(入っていたのは昭和の時代)。
キャッシュカードデータをATMから得ているという報道なので、もしかしたらATM内に暗証番号を溜めていた可能性があると思ってます。(偽造枚数が少ないのもハマ銀ATMから得た他行データかつ、ICチップ非対応だけ選ったのではないかとおもってますけど)
通信ログあたりからカードデータを再現したんじゃないかと思うのですが、どうでしょう?
トラブルに備えてATM側で全通信データをログに残しておく、というのは基本でしょうし。そこで、「暗証番号部だけ伏せる」なんて細かい処理はしてないってこともありえるかな、と。
#あるいは、暗証番号部は伏せていても、チェックサムがログにあったら、そこから再現できたりして。#ブルートフォースで誕生日とかのそれっぽい数字でチェックサムが一致したら、それで一回試してみる。失敗したらその口座は破棄、とか。
通信トラブル対応のためならペイロードをログしておく必要は無いし、それ以外のトラブルであればすべてサーバー側を基準に対応するしかないよ。だいたいATMなんて重機を使って物理的に強奪されることもあるのに暗証番号はおろか口座番号だって記録に残しておけるわけないでしょ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
Stableって古いって意味だっけ? -- Debian初級
バレないと思ったのかしらん? (スコア:0)
銀行に防犯カメラが山とあるのは知ってると思うんだけどなぁ。
ICチップの変造までやっているとは思えないので、磁気キャッシュカード+暗証番号で暗証番号はATM内にあったのではないかと妄想。
Re:バレないと思ったのかしらん? (スコア:2, 参考になる)
暗証番号はATM内にあったのではないかと妄想。
ATM解析用ログだそうです。
http://itpro.nikkeibp.co.jp/article/NEWS/20140205/534910/?P=2 [nikkeibp.co.jp]
Re: (スコア:0)
いまのキャッシュカードには暗証番号含まれていないはず。
あと、浜銀のカードはICではなかった。少なくとも手元にあるカードは磁気ストライプのみ。
磁気カードの仕様は銀行共通だろうから、dumpした中身からカードを偽造したのかな?
暗証番号も同じくdumpした中身や伝送路のキャプチャデータから解析した?暗号化ないのかは気になるけど。
ATMや銀行システムを作っている側からのアタックなんて防ぎきれないよ
Re:バレないと思ったのかしらん? (スコア:1)
浜銀は(少なくとも5年以上前から)ICりかつ指静脈認証対応です。
ちなみに、富士通フロンテックはUFJ銀行等で使われる、手のひら静脈認証の装置 [fujitsu.com]を作ってます。
Re: (スコア:0)
ええ、カード内に暗証番号入ってないのは知ってます(入っていたのは昭和の時代)。
キャッシュカードデータをATMから得ているという報道なので、もしかしたらATM内に暗証番号を溜めていた可能性があると思ってます。
(偽造枚数が少ないのもハマ銀ATMから得た他行データかつ、ICチップ非対応だけ選ったのではないかとおもってますけど)
Re:バレないと思ったのかしらん? (スコア:2)
通信ログあたりからカードデータを再現したんじゃないかと思うのですが、どうでしょう?
トラブルに備えてATM側で全通信データをログに残しておく、というのは基本でしょうし。そこで、「暗証番号部だけ伏せる」なんて細かい処理はしてないってこともありえるかな、と。
#あるいは、暗証番号部は伏せていても、チェックサムがログにあったら、そこから再現できたりして。
#ブルートフォースで誕生日とかのそれっぽい数字でチェックサムが一致したら、それで一回試してみる。失敗したらその口座は破棄、とか。
Re: (スコア:0)
通信トラブル対応のためならペイロードをログしておく必要は無いし、それ以外のトラブルであればすべてサーバー側を基準に対応するしかないよ。
だいたいATMなんて重機を使って物理的に強奪されることもあるのに暗証番号はおろか口座番号だって記録に残しておけるわけないでしょ。
Re: (スコア:0)
ICカードだって、関係者が正規の作成システムでデータ書き込んだら偽造可能ですから。