Amazon Mastercardは漏えいしたのか？ 　伝わらないクレジットマスター被害の現実（菊地崇仁）

最近、筆者と同じ三井住友カードから「ネットショッピング認証コードのご案内」が届くと言う被害が増えている。

筆者は数日の間に2回被害にあい、1件目はPRESTIA Visa PLATINUM CARD、2件目はANA VISA プラチナ スーパーフライヤーズ プレミアムカードだ。どちらも、認証メールにある認証コードを入力していないため、実害はない。

ネットショッピング認証コードのご案内

しかし、「ネットショッピング認証コードのご案内」が届くと言うことは正しいカード番号、有効期限、セキュリティコードが入力された事になるため、「ネットショッピング認証コードのご案内」が届いたクレカはカード再発行してもらう必要がある。

利用店名をXで検索すると、筆者と同じような被害にあっている人が多数。特に多いのがAmazon Mastercardだ。そのため「Amazon Mastercardのカード情報が漏えいしているのでは？」とポストしている人もいる。

おそらく、Amazon Mastercardや三井住友カードのカード情報が漏えいしているのではなく、クレジットカード番号の規則性を利用した手口「クレジットマスター」だろう。

クレジットカード番号は先頭数桁が国際ブランド＋カード会社の番号になっている。従って、一部の番号を固定して、それ以外のカード番号、有効期限、セキュリティコードを割り出すため、たまたま三井住友カード、特にAmazon Mastercardの先頭番号が固定されてチェックされているために、Amazon Mastercardの情報が漏えいしているように見えるのではないだろうか。

ただ、クレジットマスターにしては、同じ店舗で被害にあっている人が多いのが気になる。

筆者が犯人の場合、カード番号、有効期限、セキュリティコードをチェックするプログラムを作る時にどんな事を気をつけるか。

不正利用を防止するため、クレジットカード情報を数回間違えばロックがかかる仕組みが多いため、複数のサイトをランダムに使ってチェックするプログラムを作るはずだ。

サイトαで「AAAABBBBCCCCDDDD、06/25、111」をチェック、サイトβで「AAAABBBBCCCCDDDD、07/25、111」をチェック、サイトγで「AAAABBBBCCCCDDDD、08/25、111」をチェックなど、複数サイトをランダムに利用し、ロックがかかりにくくする。

プロキシなどで、チェックする際のIPアドレスをランダムにすれば、さらにロックがかかりにくくなる。

このような仕組みの場合、「ネットショッピング認証コードのご案内」が届くのは、1つのサイトではなく、複数のサイトから届くはずだ。筆者の違和感はこの1つのサイトからしか「ネットショッピング認証コードのご案内」が届かない点。

つまり、「ネットショッピング認証コードのご案内」が送られてくるサイトはクレジットカード情報のチェックのために大量な決済エラーが発生しており、このサイトで大量のエラーがあるIPアドレスなどを弾くような仕組みが用意されれば、今回の被害は止まると思われる。

筆者が第1弾を報告してから、被害がおさまるどころかどんどん拡大している。このままだと、筆者が保有している他の三井住友カードも再発行しなければならなくなるため、何とか食い止めたいのだが。

問い合わせを続けているのだが、なかなか伝わらない。

さらに、本人認証メールだけで実害がないのも動きが遅くなる原因だろう。実際に3万円の不正利用被害にあいましたと伝えれば、カード会社も店舗も調べる事ができる。しかし、本人認証メールだけでは、店舗もカード会社もなかなか動いてくれない。

実害がないクレジットマスターほど厄介な被害はない。