第469号コラム:松本 隆 理事(SCSK株式会社 セキュリティサービス部 エバンジェリスト)
題:「ダークウェブの不思議なサービス」
Torなどを利用した匿名化によって、ユーザーの追跡が困難なダークウェブ上には、数々の不可解なビジネスが存在する。CyberFreak Cardもそのひとつだ。サイトの説明によるとこのサービスは何らかの「事情」のあるクレジットカード~例えば不正に取得したカード~で買い物ができないユーザーの代わりに物理的にショップに出向いて買い物をし、指定する住所まで配送手配までしてくれるというものだ。
不正取得したクレジットカード情報を、比較的追跡されにくいオンラインショップで利用するのではなく、何故わざわざ追跡されやすい店舗に出向くというリスクを負うのか。多くの人が疑問に思うのは当然だ。ダークウェブのリンクを取りまとめた紹介サイトHidden wikiの編集者は、この不可解なサービスに関して「おそらく詐欺だ」とコメントしている。筆者はこのサービスを利用したことがないので、指摘されているように詐欺サービスかどうかは判断できない。しかし、このような請負サービスが存在し得る事情について、思い当たるふしはある。
まず、あくまで第三者としてユーザーの商品購入の代行という形式をとることで、処罰を逃れる、もしくは軽減する狙いがあるのではないか。実際には各国で事情が異なるので、それぞれのルールに依存するのだろうが、この手の話は昔からアンダーグラウンドの違法薬物コミュニティで盛んに議論されている。
次に店舗側の事情だ。例えば日本で加入するクレジットカードは、契約と同時に盗難保険に加入することなどからも分かるように、一定の不正利用は織り込み済みだ。ネットワーク越しに匿名な状態での取引を実現しやすいオンライン決済の場合、店舗側の対応はマニュアルによって明確になっているケースが多い。重要情報を保護するため、EC店舗において特定のグローバルセキュリティ基準を取り入れている企業も、昨今では珍しくなくなった。ただし、店舗で直接商品を購入するユーザーのトラブルは、現場のクレーム対応のひとつと捉えられる。金銭が絡んだクレームの場合、基本的にはマニュアルに従って処理するが、現実の細かいクレーム対応は各店舗、その場の状況によって柔軟に処理することがある。不正に入手したカードを実際の店舗で利用するCyberFreak Cardのようなサービスは、この現場での「特別対応」を狙っているのではないかと見ている。
ここで詳しい読者であれば疑問に思うかもしれない。今はカード会社から盗難情報などの不正利用のブラックリスト情報(もしくは更に詳細なレピュテーション情報)が店舗に通知される仕組みが存在するはずなのに、なぜいまだに店舗で不正取得が疑われる怪しいカードの利用が可能なのかと。
ひとつは単純に、ブラックリストが出回っていない段階でカードが不正利用されてしまうケースが考えられる。カードの盗難やカード情報の詐取の発覚には時間がかかる。例えば複数のカードを所持するユーザーであれば、メインで利用していないカードの物理的な紛失に気付くまでには、時間がかかるかもしれない。また、スキマーによるカードの物理的なスキャンのケースや、データを預けているショッピングサイトからの情報漏えいなどでは、カード自体は手元に残るため、ユーザーが自発的に気づくのは難しい。サイトの管理者が不審なアクセスに気付くか、実際に悪意のある人間によってカードが不正利用され、カード会社が不審な買い物履歴に着目し調査に乗り出すまでは、まず漏えいの事実は発覚しないだろう。
もうひとつは、人と人のリアルなクレーム対応の中で、現場の判断で「穏便に」処理してしまうケースが存在する。実は過去に個人的にカードの不正利用について相談を受けた事例はこれだった。事情が事情だけに、あまり詳細に語ってしまうと差し支えがあるのだが、明確な不正ではないレベルのクレーム対応のコストは各店舗で負担することが多いため、良くも悪くも現場では様々な判断が存在しうる。例えばこんな場面を想像してみてほしい。あなたは商品カウンターで外国人に詰め寄られている。決済は過去に終わっていて、店舗に商品を受け取りに来たという。既に決済は終わっているが、現時点のレピュテーション情報では疑わしい、もしくはカード会社側のルールでは判断不可のカードである。もしかしたら何らかの手段で不正に入手したカードかもしれない。しかし外国人に大声でまくしたてられ、受け取りに来たのに困ると繰り返しわめかれる。あまりの騒ぎに周りの客も眉をひそめだす。店舗側で止めようと思えば止められる状態だし、できればマニュアル通りに店舗側で本人確認などの対応を進めたいが言葉が全く通じない。これでは仕事にならないし対応コストもばかにならない。幸い、商品もそれほど高額なものではない・・・。
冒頭の不思議なサービスが仮に実際にサービス提供しているとすれば、現場の事情に精通した、ある種のソーシャルエンジニアリングのノウハウを持った連中が提供しているのかもしれない。サービスの紹介ページには次のようなメッセージが掲載されている。
「But do not think that it is easy」
彼ら曰く、それぞれの店舗でうまく立ち回るには事前準備やノウハウが必要で、簡単には真似できないサービスのようである。
ただし、クレーム対応の中で脇の甘い対応を続けていると、クレームが通りやすい「便利な店舗」の情報は彼らのなかで共有され、結果として大変な事態を招くこともある。クレジットカードの不正利用が疑われるケースでは、現場においても明確で毅然とした対応が求められているのは言うまでもない。
最後に宣伝になりますが、来る9月7日の第7回IDF講習会では、「ダークウェブとマーケット」について3時間ほど話をさせていただきます。今回のコラムで紹介しきれなかったCyberFreak Cardの詳細や細かい事例、そのほかの興味深いダークウェブのサービスの話を沢山盛り込んでいますので、もし興味がありましたら聴講を検討していただければと思います。
【著作権は、松本氏に属します】