磁気ストライプの検証

磁気ストライプカードとは

磁気ストライプカードとはwikipediaによると磁気ストライプカード（じきストライプカード、英: magnetic stripe card）は、磁性体の帯があるカードで、その中の鉄をベースとした小さな磁性粒子の磁性を変化させることでデータを格納できるもの。とありますが簡単に説明するとみなさんが持っているポイントカードやクレジットカードなどの磁性体を持ったカードのことを言います。

概要

今回は磁気ストライプの基本的な仕様等の説明、簡単に仕様特定等に行った検証を掲載していく。

仕様

磁気ストライプ内データ

まず磁気ストライプ内のデータだがMSR705と付属のソフトウェアを使用し内部データを読み取りネット上の情報等を参考にまとめた。ネット上の情報に関してはこちらを参考にした。

上記が読み取ったデータであるサンプルにはアクティベートを行っていないおさいふポンタを使用した。クレジットカードはTrack1, Track2, Track3がありそれが縦に並ぶような形で配置されています。(※国内で発行されている殆どのクレジットカードはTrack3はありません)磁気ストライプ内の番号に関して上記を例に簡単に解説をつけると下記の通りです。
Track1
B(開始符号)3574001005472095(カード番号)^(区切り符号)MEMBER/OSAIFUPONTA(氏名)
^(区切り符号)2110(有効期限)121(サービスコード)679(cvc1)

Track2
3574001005472095(カード番号)=(区切り符号)2110(有効期限)121(サービスコード)679(cvc1)

サービスコードについて

先ほどの磁気ストライプ内のデータにあったサービスコードについて解説していくこのサービスコードとは決済端末側に要求しうる動作を決める為のもので数字によって下記の様な意味を持つ。
1桁目
1:国際ブランド
2:国際ブランド&ICチップ搭載
5:国内ブランド
6:国内ブランド&ICチップ搭載
7:プライベート用
9:テスト用

2桁目
0:決済機側で判断
2:イシュアーに問い合わせる
4:二国間協定を除いてイシュアーに問い合わせる

3桁目 0:制限なし&PIN入力要求
1:制限なし
2:物品とサービスのみ
3:ATMのみ&PIN入力要求
4:キャッシングのみ
5:商品とサービスのみ&PIN入力要求
6:制限なし&可能な場合はPIN入力要求
7:物品とサービスのみ&可能な場合はPIN入力要求

検証

カードの偽造可否や偽造カードの使用可否等の検証を行った。

カードの偽造

まず結論から言うと偽造は可能であるしかしカード番号や有効期限、CVC2を知っていても偽造は不可能である理由として先ほど説明したCVC1が不明であるためである実はクレジットカードは通常裏面等に記載があるものはCVC2でありこちらはEC決済等に用いられるが磁気ストライプ内のものは店頭決済用のCVC1となっておりこちらは乱数で推測が不可能であるため偽造は不可能である。ではどうやって偽造が可能かと言うと有名な手口ではあるが決済機等に付けるスキミング装置を用いる方法やまた悪意のある加盟店に直接磁気ストライプ内データが盗まれたりした際に偽造カードの作成は可能になってしまう磁気ストライプには書き換え不能な固有データ等が存在しないため磁気ストライプ内のデータを直接抑えられたら終わりなのである。
対策等は近年日本でも増えてきているが決済操作のセルフ化と決済端末等を目視確認することだ。

偽造カードの使用

こちらも結論から言うと使用可能であるしかし近年のIC対応で使用が難しくなっているのも事実であり理由としては先ほど説明したサービスコードだがこちらの1桁目が2か6である場合ICが要求されてしまい(要求しない決済機もあり)決済ができないまたこちらのサービスコードを書き換えて検証を行ったところ現在のクレジットカードインフラではイシュア側で少しでも違う番号等があると決済できない仕様となっており決済が不能だった。ここで余談だが本検証で分かったことなのだがTrack1にデータがない場合(磁気等を取り去った状態)決済できないがTrack1になんらかのカード情報があった場合決済できたのだがTrack1に如何なるカード情報を入れてもTrack2のカード情報により決済が行われた、また先ほどのサービスコードもTrack2のものが使用される仕様となっていた。
対策としてはカードのIC搭載、決済機のIC対応だ。

まとめ

以上の通り割と簡単に不正利用ができてしまうことが判明した特に日本国内の決済事情的にはかなり早急な対応が必要な状態だと思われる。