三井住友カードの新カードの問題点

三井住友カード、新しいカードデザインが発表されました。詳しくは、→こちら(三井住友カード、新たなキャッシュレス決済エクスペリエンスを提供)

いろいろと新しい機能やら、カードデザインの変更やら、キャンペーンやら、アプリやらがアナウンスされていますが、情報セキュリティの専門家の端くれとして気になったのがこちら。

https://www.smbc-card.com/camp/newcard/index.html

こちら、新しいカードのデザインに関するページなのですが、このなかで、新しくなるカードは、裏面に情報が集約されるそうなのですが、その点が。

(上記ページより、検証のため画像引用)

これが新しくなる、三井住友カードのデザインです。確かに、表面はすっきりして、裏面に情報が集約されています。これを見ると、表面から情報がなくなったので、セキュリティ向上!に見える方もいるかもしれません。


でもこれ、裏面にカードで通販などネットサービスを利用するにあたっての必要情報(フルのカード番号、有効期限、所持人の氏名ローマ字、CVC(セキュリティコード、セキュリティ番号))が、全て集約されてしまっているのですが。

これが何を意味するかというと、従来だとカード情報(フルのカード番号、有効期限、所持人の氏名ローマ字)は表面に、CVC(セキュリティコード、セキュリティ番号)は裏面にあったため、両面の情報が必要だったところが、なんと裏面だけで全ての情報がそろってしまいます。

物理カードに裏も表もない(ひっくり返せば同じ話)なので、裏面に書いてあるから安心!ではなくて、片面に全ての情報が書かれていることが問題なのです。


つまり、今までは両面のコピーなり写真なりを撮る必要があったところが、この新しいカードでは裏面という名の片面のコピーなり写真を撮ってしまえば、ネット通販なりネットサービスが他人でも出来てしまうことになります。

たとえば、上記の写真でネット通販をしようとしたとき、裏面の画像からでわかる情報で入力しようとすると、
カード番号:4980-1234-5678-9010
有効期限:03/’64
名義人:TARO KOKUSAI
セキュリティコード(CVC):191
と、十分な情報が入力できてしまうわけです。

両面の写真なりコピーなりの方が、片面の写真なりコピーなりよりも、圧倒的に難しい(片面ならそんなに不自然にならずにコピーや写真撮れますし、盗撮機とかでも、片面なら簡単です。両面しようとすると、どうしても不自然な動きが出てきます。)ので、これはセキュリティ的に見て、むしろレベルが下がっていると考えます。

さらに、裏面にQRコード(お問い合わせ用みたいですが)があるので、カジュアルに、「あ、QRコード読み取らせて!」と言って、スマホのカメラでパシャリ、とされても、あまり不自然さがありません。

クレジットカードは不正利用されても、保険で補償される場合も多いのですが、調査に時間がかかったり、カード番号などを変更しないといけない(=登録している各種サービスに連絡しないといけない、めんどう)ことがあったりするので、リスクは避けるにこしたことはありません。

各種メディアやツイッターなどでは好意的に捉えられている今回のデザイン変更、私は危険視しています。