Bluetoothを使ったクレカのスキマーを検出するアプリを研究者が開発

ガソリンスタンドや銀行のATMに密かに設置されていることのあるクレジットカードスキマー。そうした装置をワイヤレスで検出できる新たなアプリを、コンピューター科学者のチームが開発した。

カードスキマーがATMの正面全体を覆ってしまうような時代ははるか昔のこと。近頃のクレジットカードスキマーは小さく、ほとんど目につかない。そして、その多くがBluetoothを使ったワイヤレス通信機能を備えている。つまり、カード情報を盗み取ろうとする輩は、いったん装置を設置すれば、二度とガソリンポンプのカバーを開ける必要がない。そして、車に乗ったまま近づいて、盗んだカードデータをワイヤレスで吸い上げることができるというわけだ。

多くの場合、スキマーは、磁気ストライプリーダーだけでなく、キーパッドにも接続される。それにより、クレジットカード番号に加えて暗証番号や郵便番号も盗むことができる。

Bluetanaと呼ばれる新たなアプリは、カリフォルニア大学サンディエゴ校と、イリノイ大学アーバナシャンペーン校の研究者によって開発された。ターゲットとなりやすいガソリンポンプを分解せずに、Bluetooh機能付きのスキマーを検出することができる。

Bluetoothのシグネチャーを識別することで、制限速度の標識信号や、車両追跡システムなどを誤検知することなく、より多くのスキマーを見つけることを目指していると、博士課程の学生で研究グループの一員であるNishant Bhaskar(ニシャント・バスカー)氏は述べている。

多くのスキマーは同じコンポーネントを使用しているので、そのコンポーネントを検出することで、スキマーの存在を確認できるのだ。次に、Bluetoothデバイスに固有のMACアドレスのプレフィックスが、警察によって回収されたスキマーが実際に使用していたプレフィックスのリストの中に存在するかどうかを調べる。さらにこのアプリは、Bluetooth信号の強度を「信頼できる要素」として考慮し、スキマーデバイスがガソリンポンプの近くにあるかどうかを判断する。

このアプリは、フィールドテスターがスキャンして集めた、米国の6州の1185台のガソリンポンプに据え付けられたBluetoothスキマーのデータを参考にして開発された。

これは、そうした小型で目立たないように設置されたスキミングデバイスを検出するために考えられたこれまでの取り組みを強化するための手法として有望だ。Bluetoothスキマーは、投資に対するリターンが大きいので、詐欺師やその同類に人気が高い。スキマーデバイスのコストは1台あたり20ドル(約2100円)程度だが、設置場所にもよるものの、それによって数千ドル(数十万円)を盗み取ることもできる。

研究者によると、このBluetanaアプリは、これまでのところ、それ以前のスキャン方法を回避した64台のBluetoothベースのスキマーを検出できたという。検出時間も数分単位ではなく、数秒にまで短縮することに成功した。

ただしこのアプリは、すぐに誰でも使えるものになるわけではない。今現在は、米国の警察機関によって使用されている。研究者によると、すでにこのアプリは米国のいくつかの州で実際に使われているという。

画像クレジット:カリフォルニア大学サンディエゴ校

原文へ

(翻訳:Fumihiko Shibata)