前回は不正利用の大部分は「番号盗用」である事を紹介した。
-
-
【前編】クレカなどの不正利用はかなり深刻!? 「じぶん銀行スマホデビット」の不正利用未遂で見えてきた具体的な手口を紹介!(菊地崇仁)
先日、auじぶん銀行の「じぶん銀行スマホデビット」が何度も使われそうになった事で、「じぶん銀行スマホデビット」の再発行を試みたが再発行はできず、一度「退会」手続き後、再度「新規申し込み」で対応する事に ...
続きを見る
「番号盗用」とはクレジットカードの番号、名前、有効期限、セキュリティコードが何らかの形で盗まれる被害となり、「物理カードの写真・動画撮影」「フィッシング」の手口を紹介し、筆者が今回不正利用未遂被害は「クレジットマスター」の手口と断定した。
今回は、クレジットマスターとはどのような手口なのか、どのように不正利用の対策をすべきかを紹介する。
■クレジットマスター
クレジットマスターはクレジットカードの番号の法則を利用した手口となる。
クレジットカード番号には規則性があり、正しいカード番号か正しくないカード番号かは関数などを使えばエクセルでもチェックすることができる。
-
-
知らないところでクレジットカードが使われる「クレジットマスター」の被害に遭わないようにする方法は?
2019年3月14日(木)に、他人のクレジットカードを使って旅行をした2人が逮捕された。 手口は「クレジットマスター」とのこと。このクレジットマスターという手口は、10年以上も前から使われており、カー ...
続きを見る
以前はネットワークやサーバーの処理能力が遅く、入力チェックはできるだけローカル(入力している端末側)で行い、ある程度のチェックした情報をサーバーに送信し、ネットワークやサーバーに負荷をかけないようなシステム設計をしてきた。
そのため、入力された情報がサーバーに送る前に正しいか・正しくないかをチェックできる仕組みを用意する場合があり、クレジットカード番号も計算することで正しいか・正しくないかを確認する事ができるようになっている。
ローカル側で「正しいカード番号かどうか」「入力した有効期限が過去の年月ではないか」「セキュリティコードの桁数が正しいか」をチェックしてからサーバーに送信すれば、ネットワークやサーバーの負荷を軽減できるわけだ。
ローカルで事前チェックする理由
サーバー(カード会社)側で、送られてきたカード番号や有効期限・セキュリティコードをチェックし、正しい場合は決済処理、正しくない場合はエラーを返すと言う流れとなる。
最近はネットワークも高速化し、サーバー側の処理能力が上がっているが、カード番号についてはこれまでと同じ仕組みが使われており、今でもカード番号が正しいか、正しくないかを簡単に確認することができてしまう。
今回、「じぶん銀行スマホデビット」では、計算結果により正しいとカード番号と固定され、その番号に対して、1度につき5回有効期限・セキュリティコードを変更してチェックをされており、カード番号、有効期限、セキュリティコードの正しい組み合わせを突き止めるという作業がシステム的に行われていた。
クレジットマスターで有効期限・セキュリティコードを特定するイメージ
「じぶん銀行スマホデビット」ではカードの決済ができなかった場合でもメール通知があったため、何度も試されている事を確認ができたが、通常のクレカなどでは、決済エラーでは通知がない場合がほとんどだ。
その場合、未遂を事前に知ることはできず、実際に使われたときにはじめて試されていたという事実に気がつくことになる。
今回の「じぶん銀行スマホデビット」で送られてきたメールを見ると、チェックに使われていたサイトは海外ショッピングサイトではなく、国内ショッピングサイトだった。
最近のクレカなどでは海外利用を拒否するなどのオプションもあるが、海外利用を弾けば不正利用を防げるようなレベルではなくなってきている。
クレジットマスターの場合、カードを落としたり、フィッシングに引っかかったりせずに、誰でも被害にあう可能性があり、防ぐ方法はない。
では、不正利用対策はどうすれば良いのだろうか。