ロッカーの暗証番号についての提案

三連休を前にして、注意を呼びかけるニュースが流れていた。ゴルフ場などで暗証番号式ロッカーからクレジットカード情報の盗難が相次いでいるのだという。

ゴルフ場でカード偽造被害急増 １０億円：
http://www3.nhk.or.jp/news/html/20121221/k10014360761000.html

犯人はロッカーについている暗証番号入力装置の上に小型カメラを取り付け、ゴルフ場の利用客が設定する暗証番号を盗み見て、利用客がプレイ中にロッカーを開け、財布の中のクレジットカード情報だけを盗み取るというのが手口。カードは財布に戻されるので利用客は気が付かない。犯人は得た情報をもとにしてクレジットカードを偽造してしまう。

被害に合うのはクレジットカードの暗証番号をそのままロッカーの暗証番号に設定してしまう不注意な人ばかりだ。

このニュースを見て、すぐ思ったのは「そりゃ、ロッカーの暗証番号が４桁だから。」ということ。もし暗証番号装置を４桁以外で設計しておけばクレジットカードの暗証番号をそのまま打ち込むことはできない。ただ、小型カメラが設置されているからカードも含めて貴重品の盗難は避けられないが、その場合でも比較的早い段階で気がついて、被害を最小におさえることができる。

ロッカーの暗証番号は何桁にすればよいだろう？桁数があまり多くても覚えにくくなる。８桁だと４桁のカードの暗証番号を２回繰り返す人がでてくるのでよろしくない。仮にカードの暗証番号を１２３４として、不注意な人だと次のようにロッカーの暗証番号を設定するだろう。これはいちばん極端なケースだ。

５桁の場合：「１２３４１」または「１２３４５」
⇒　これはいける！カードの暗証番号が含まれているとは思われにくいし。

６桁の場合：「１２３４１２」または「１２３４５６」
⇒「１２３４１２」はカードの暗証番号が見破られやすい。

７桁の場合：「１２３４１２３」または「１２３４５６７」
⇒「１２３４１２３」は６桁のときよりも、さらにカードの暗証番号が見破られやすい。

８桁の場合：「１２３４１２３４」または「１２３４５６７８」
⇒論外。カードの暗証番号が「１２３４」だと宣伝しているようなもの。桁数を増やした意味がない。

クレジットカードや貴重品が盗まれたままになることもあるから、ロッカーの暗証番号を５桁にしても犯罪を完全にゼロにすることはできない。しかし、犯罪成立件数はそういう不注意な人のぶんだけは減るはずだ。この対策だけで記事に書かれているような１０億円の被害の大半は起きなくてすんだはず。

この事件はこれだけ大っぴらに報道されたので、ゴルフ場をはじめ暗証番号式ロッカーのある施設は、いろいろ対策を講じていると思う。最近はICカードでないと開かないロッカーも開発されているというし。

このニュースを見て、ロッカーの暗証番号を４桁にして開発したメーカーの責任は大きいと僕は思った。

セキュリティの原則は、ヒューマン・エラーがおこることを前提としてシステム設計を行うことにある。

今回紹介したように簡単な対策は、すでに実施されているのかもしれないが、たまたま思いついたので「アイデア」のひとつとして記事に残しておく。

と思って検索してみたら、海外ではすでに実施されているようだ。

暗証番号って、なぜ四桁が多いんでしょうか？？（OKWave）
http://okwave.jp/qa/q7606712.html

このページの中には「５桁に変更しようすると銀行などでシステム変更の費用が莫大になるため不都合が生じる」ことが書かれているが、銀行のカードやクレジットカードの暗証番号は４桁のままにして、ロッカーなどそのほかの設備の暗証番号を５桁にすればよいと思った。クレジットカードとロッカーの暗証番号を違う桁数にすることがポイントだ。

または、ロッカーなどの暗証番号は英語のアルファベットだけを任意の桁数で設定するという方法もある。２６文字使うとキーボードが大きくなるからAからJまでのテンキーにしたらよいだろう。

そうだ！解決方法としてはこちらのほうがずっといい！だって、今ロッカーについている暗証番号装置の数字キーの上にAからJのシールを貼るだけですむのだから。この場合、装置のハードとソフトはそのままだから、暗証番号は「４文字のアルファベット」を意識しながら入力することになる。クレジットカードの暗証番号と関連付けられることはない。

「それぞれのロッカー番号は数字だから、アルファベットのシールを貼ったらロッカー番号を入力できなくなっちゃうでしょ！」という人がいるかもしれない。でも大丈夫。ロッカーのほうに表示されている数字をアルファベットにしてしまえばいいわけだから。たとえばロッカー番号が３桁で１２３ならばABCのシールを貼ればよい。１２３４５６７８９０をABCDEFGHIJにそれぞれ対応させればよいだけ。ロッカー全部にシールを貼るのは大変だけど、費用はそれほどかからない。

あともうひとつ。

もし暗証番号の入力装置がタッチパネル式で操作指示メッセージの表示を兼ねている場合、画面にシールを貼るわけにはいかない。装置のソフトウェアを修正して番号入力のときアルファベットで表示するようにすればよいわけだが、開発元に依頼しなければならない。それは次期バージョンで対応してもらえばよいだろう。単純な仕様変更だ。

ソフトがバージョンアップするまでは、差し当たりロッカー番号や暗証番号の入力が求められたときだけ画面に重ねて使うシートを用意しておけばよいと思う。iPad用として売られている保護シートの上にAからJのアルファベットを位置をきちんと測って印刷しておいたのを使えばいいんじゃないかな。もちろん番号入力のときは必ずこのシートを使うことを徹底しなければならない。


問題の原因は暗証番号の桁数がロッカーとクレジットカードで同じだということにもあるが、その本質はむしろ両者の番号を同じに設定してしまう不注意さのほうにある。

今日の結論：ロッカーなどの暗証番号は５桁の数字で入力するか、あるいはAからJまでの英文字で入力するようにシステムを変更するよう提案させていただく。

暗証番号式ロッカーを利用されるみなさん、くれぐれもご注意ください。


応援クリックをお願いします！このブログのランキングはこれらのサイトで確認できます。

　　




ゴルフ場でカード偽造被害急増 １０億円：

全国のゴルフ場で、利用客のキャッシュカードなどのデータが「スキミング」と呼ばれる手口で盗まれ、現金を勝手に引き出される被害が急増していることが分かりました。
被害額は、この４か月だけで１０億円に上るとみられ、全国のゴルフ場で作る団体が緊急の注意喚起を行いました。

日本ゴルフ場事業協会などによりますと、ことし９月以降、全国のゴルフ場で、利用客がデジタル式の貴重品ロッカーにしまっていたキャッシュカードやクレジットカードが偽造され、現金が勝手に引き出される被害が相次いでいます。
犯人は、貴重品ロッカーに小型のカメラを設置して、利用客が入力する暗証番号を読み取り、ロッカーからカードを取り出しているということです。
カードは、専用の機械を使い、「スキミング」と呼ばれる手口でデータだけを盗み取って別のものを偽造し、カード自体は財布に戻しているということです。
現金を引き出すためには、カードの暗証番号が必要になりますが、多くの利用客が、ロッカーに入力したのと同じ番号を暗証番号としていたため、被害に遭ったとみられています。
こうした被害は、茨城県や栃木県など関東地方を中心に全国のゴルフ場で確認されていて、警察などのまとめによりますと、被害の総額は、今月までの４か月間で１０億円に上るとみられるということです。
日本ゴルフ場事業協会は、警察からの依頼を受けて２０日、全国１８００のゴルフ場に緊急で注意喚起の文書を送り、防犯カメラの設置や貴重品ロッカーの管理強化などの対策をとるよう呼びかけました。
日本ゴルフ場事業協会の小沼達夫事務局長は「カメラなど機器の小型化により、手口は巧妙になっており、対策を強化していきたい。また貴重品ロッカーを利用する場合には、カードの暗証番号とは違う番号を入力するよう注意してほしい」と話しています。
カードの情報を盗み出す「スキミング」を巡っては今月、大手銀行の「新生銀行」のＡＴＭ＝現金自動預払機を利用した３０人の顧客が、合わせて６４０万円余りを不正に引き出されたほか、ファッションビルを運営する「丸井グループ」のＡＴＭでも、少なくとも５５０件分のカード情報が盗まれるなど被害が相次いでいます。