第800号コラム:松本 隆 理事(株式会社ディー・エヌ・エー システム本部 セキュリティ部 サイバーアナリスト)
題:「クレジットカード不正利用被害の増加は決して対岸の火事ではない」

2023年9月に、一般社団法人日本クレジット協会から最新のクレジットカード不正利用被害額の集計結果が公開(※1)された。資料によると2023年4月~6月までのクレジットカード不正利用被害額は、前年の同時期よりも32.8%増えており141億円となっている。クレジットカードの不正利用被害額は近年右肩上がりに増え続けており、2023年は過去最大だった2022年の436億円を上回る勢いである。

これらのカード不正利用被害の殆どが番号盗用によるものだ。番号盗用とはネット通販などの非対面決済で、他人のカード情報やパスワードを流用し、カード名義人に成りすまして不正利用する手口だ。被害全体の番号盗用の構成比は2022年では94%(411.7億円)、2023年は1月~6月の段階で93.6%(245.7億円)となっており、偽造カードやその他の不正手法による被害額を大きく引き離している。

番号盗用の被害拡大にはいくつかの要因が考えられる。ひとつは、コロナ禍の巣ごもり需要によるネット通販の一般利用者への浸透だ。新型コロナのまん延自体は収束しつつあるが、利用者は便利なネット通販を継続して利用し続けている。ネット通販以外にも、電子マネーのチャージ、暗号資産の購入など非対面でクレジットカードでの高額決済を利用する場面は年々拡大しており、そのぶん不正利用被害も増加している。また、成人年齢が18歳まで引き下げられたことによって、クレジットカードのリスク対応に不慣れな若年層が新たなターゲットになっている可能性もある。サイバーセキュリティの観点では、大きなフィッシング詐欺のキャンペーンや、発覚が遅れると長期にわたって被害を受け続けるWebスキミング(※2)の増加なども挙げられるだろう。あとで解説するが、フィッシング詐欺やWebスキミングについては、クレジットカードの不正利用だけにとどまらない問題を抱えている。

盗まれたクレジットカード情報の売買も盛んだ。クレジットカード情報は漏えい情報の中では安全に悪用可能な商品として、犯罪者が利用するダークマーケットで比較的高値で取引されている。ただし、昨今のダークマーケットでは、クレジットカードの基本情報(カード会員番号/名義/有効期限/セキュリティコード)のみの場合、価値は低くなる傾向にある。カード会社や代理店側での不正決済対応が進み、カードの情報だけでは悪用時の不正発覚リスクが高くなっているためだ。そこで、犯罪者はFullzというカード名義人の個人情報を取りまとめたデータをクレジットカード情報とセット販売することで、決済時にカード名義人になりすまし、カード会社やオンラインショップのセキュリティや追加認証を突破する手段として提供している。クレジットカードとセットで販売されるFullzの内容は、カード会社やオンラインショップのセキュリティの向上によって多様化している。IPアドレス/デバイス情報/請求書送付先住所/メールアドレス/電話番号、更に母親の旧姓/好きな映画などの、追加認証で用いられる、いわゆる「秘密の質問」まで含まれることがある。なぜこれらの情報がクレジットカード番号等とセットで盗まれるのか、その理由はフィッシング詐欺やWebスキミング被害の増加と密接にかかわっていると考えられる。これらの手法では決済情報と同時に利用者の情報もセットで抜き取られることが多い。侵害の手口が進化するとともに、より不正を働きやすいデータに狙いを定めて盗まれている状況だといえる。

さて、ここで表題の「クレジットカード不正利用被害の増加は決して対岸の火事ではない」について触れたいと思う。先ほどダークマーケットでは、クレジットカード情報と個人情報のかたまりであるFullzがセットで流通されている状況を説明したが、このFullz、特にクレジットカードの不正利用に利用可能な「新鮮な」個人情報のかたまりは、他のなりすまし犯罪においても非常に有用だ。例えばFullzの情報をもとに当人のWebサービスになりすましができるかもしれないし、本人確認書類を偽造し、KYC(※3)を突破して金融機関で口座開設を行うことや、SIMスワップ詐欺(※4)を試み当人の電話番号を乗っ取ることが可能かもしれない。フィッシング詐欺やWebスキミングによってリアルタイムに取得された鮮度の良いFullzは、クレジットカードの不正利用目的だけでなく、あらゆるなりすましのスキームにおいて、犯罪者にとって更に大きな価値を生み出す可能性がある。

クレジットカード不正利用被害の増加は決して対岸の火事ではない。われわれは、業界を挙げて、いや社会全体で、クレジットカード不正利用の裏で広がる、Fullzという個人情報の「悪用目的での流通」を防ぐ必要がある。その対策のひとつが、オンライン決済の不正利用情報を企業間で共同活用するなどといった取り組みだ。このような取り組みは一部で始まっているが、残念ながらまだ十分とは言えない。

※1 一般社団法人日本クレジット協会 「クレジットカード不正利用被害の発生状況」
   https://www.j-credit.or.jp/download/news20230929_b1.pdf

※2 意外と知らない?ITトレンド用語 「Webスキミング」
   https://www.ntt.com/bizon/glossary/e-w/web-skimming.html

※3 IT用語辞典 E-Words 「KYC/eKYC」
   https://e-words.jp/w/KYC.html

※4 セコム防犯・防災ブログ 「SIMスワップ詐欺の対策」
   https://www.secom.co.jp/homesecurity/bouhan/crime_prevention/net_security/bouhan069.html

【著作権は、松本氏に属します】