クレジットカードの不正ログイン…代表的な手口、3つ
不正ログイン後に悪用されやすいのは、クレジットカードにまつわる個人情報。上記のフィッシングやウイルス感染が懸念されるのはもちろん、クレジットカードに特化した手口もあるのでみていきましょう。
スキミング
スキミングという言葉には「掠め取る」という意味がありますが、現在はカード犯罪の手口を示す単語として定着しています。インターネット登場以前の時代から、クレジットカードの磁気データを読み取る機器であるスキマーが存在し、クローンカード製造に使われていました。近年はサイバー犯罪者が、ECサイトに特殊なJavaScriptのコードを埋め込む「オンラインスキミング」が横行。ユーザーが支払いフォームに入力するクレジットカード番号や有効期限などを掠め取ったうえで遠隔サーバーに送信、悪用しています。
クレジットマスター
サイバー犯罪者が確率論に基づく試行を繰り返し、クレジットカード番号を割り出すという手口。たとえば日本のクレジットカード番号は16桁ですが「最初の6桁はカード会社を表す番号、残りの10桁が個人番号」と決まっています。その規則性を突き、個人番号を特定するのです。犯罪者は3~4桁の数字であるセキュリティコードも、同様に特定します。なお有効期限は最長5年なので、5(年)×12(月)の組み合わせ特定は、さほど難しくありません。こうした試行には労力が必要ですが、近年は、コンピュータ上の計算ツールを使い、番号を割り出しているといわれています。
ダークウェブ
ダークウェブとは、インターネット上の一般的なサイトと異なり、検索結果に表示されず、通常のブラウザからではアクセス不能な仕組みを持つサイト。ダークウェブ上では薬物や児童ポルノ動画、そして武器やマルウェアまでの取引が、匿名で行われています。そうした取引の中には、クレジットカード番号などの個人情報も。何らかのかたちで流出した情報を、匿名同士で売買しているのです。支払いには匿名性の高い暗号資産が使用されることが多く、犯罪者の特定を難しくしています。
不正を事前に見つける「不正検知ソリューション」とは?
ここまでの内容を一読すると、サイバー犯罪者が企業サイトなどを通じて金融機関のアカウント情報、そして個人のクレジットカード情報などを狙い、さまざまな策謀を張り巡らせていることがわかります。しかもその手口は変化しているので、最新の対策を講じなくてはなりません。そこで注目したいのが、不正検知ソリューションです。
不正検知ソリューションはサイバー犯罪対策に特化して開発されたシステムで、たとえば導入企業がECサイトを運営している場合、利用者の端末や配送先、IPアドレス、そして購入頻度などの情報をシステムがチェック。不正ログインの可能性が疑われる注文を、選別してくれます。
不正検知ソリューションのなかには、全世界で数千社の導入実績を持つサービスも。そうしたシステムの場合、不正ログインに使用されたデバイスの最新情報が共有されるため、新参の攻撃にも素早く対応することが可能です。なお不正検知ソリューションなどのシステム利用は、2018年に改正された「割賦販売法」において、決済代行会社やクレジットカード加盟店の義務として定められています。