[レポート]
----------------------------------------------------------------------------
クレジットカード番号偽造ソフトをインターネットで配布
名前と照合すれば偽造の発見は可能だが、世紀末の問題で偶発的に使える可能性も
----------------------------------------------------------------------------

　読売新聞が16日の夕刊第4版で報じた、『信販会社1,500社の顧客番号インターネッ
トに掲載』という記事のソフトウェアを実際入手して、どのような危険性があるのか
編集部で確認してみた。
　このソフトは、簡単に言うとクレジットカード会社（VISA/Master/AMEXなど）と発
行会社（銀行など）の組み合わせから、存在しうるクレジットカードの番号を偽造す
るという仕掛けのもの。これらのカード番号は、カード会社がカード番号を生成する
ときと同じアルゴリズムで、演算で作り出されたものだ。新聞の報道では、「顧客番
号」となっているのでカード会社の顧客データベースから持ってくるような印象だが、
そうではない。したがって、その番号の所有者の名前や有効期限が分かるわけではな
い。
　しかし、生成した番号が「偶然あなたのクレジットカード番号と一致する」危険性
はある。もし、クレジット番号を「正当かどうか」だけの簡単なチェックのみで、他
の情報と付け合わせのチェックをしていなければ、悪用される可能性がある。
　ただし、新聞の報道ではインターネット特有の問題のように伝えているが、このソ
フトを使えば、電話などでクレジットカード番号を伝える、通信販売などでも同様の
危険があるわけだ。実際、店頭で使われているクレジットカードの与信調査端末
（CAT端末）では、クレジットカード番号と有効期限だけで確認しているわけで、世
紀末（1999年）問題で、有効期限の範囲が限られている現在は、非常に危険な状態に
あると言える。
　たまたまインターネットでこのソフトが配られたので、インターネットの問題のよ
うに報じられているが、本質的にはインターネットと独立した「クレジットカードの
セキュリティ」が実は「その程度のもの」だという危険性を示した事件だとも言える。
早急に、有効期限を2000年以上へ延ばし、与信調査時に有効期限以外のカードのオー
ナーでなければ分からないパラメータを入れて確認するシステムへの移行が望まれる。
[Reported by ken@impress.co.jp]

(96年10月17日)