前回に引き続き、クレジットカード犯罪における番号盗用の手口をご紹介します。

3.ウェブスキミングによる手口
改正割賦販売法の施行後、EC加盟店でクレジットカード情報を保存・保管する場合にはPCIDSS準拠が求められ、非常に難しいものとなりました。加盟店として、カード情報の非保持化が推進されカード情報を決済代行会社のシステムに依存することで非保持化を実現しています。しかし委託先の決済代行システムが乗っ取られてしまえば、クレジットカード情報も漏洩してしまうことになります。ウェブスキミングでは、EC加盟店が決済代行会社に委託している決済システムに、カード番号などを入力させる偽の入力画面を表示させ、利用者情報を抜き取る手口です。カードリーダーを使って真正クレジットカードの磁気情報をコピーして偽造カードを作成するスキミングのように偽入力画面に必要事項を入力させるのでウェブ上のスキミング、ウェブスキミングといわれています。このシステムに仕掛けられたクレジットカード情報漏洩については長期にわたり不正被害を受けることとなることが多くみられます。対策として、現在多くのセキュリティベンダーが自社ホームページ等への改ざんを検知するシステムを提供していたりします。

4.クレジットマスターによる手口
「届いたクレジットカードは封筒に入れたままで一切使っていない」という会員のクレジットカードがインターネットで不正使用されるという事例が実際に起こっています。インターネットでクレジット決済をする際にクレジットカード番号、有効年月日、セキュリティコードなどが求められますが、基本となるクレジットカード番号を創り出してしまう犯罪の手口があります。クレジットカード番号は基本16桁です。カード番号16桁の最初の6桁で発行したクレジットカード会社をあらわし、後の数字は会員口座番号等になっています。2枚同じカードがあれば中間の番号の推測からクレジットカード番号を作り出してしまうのがクレジットマスターといわれるソフトになります。このクレジットマスターは無限に真正カード番号に近しいカード番号を創作しつづけます。犯罪者はこのクレジットマスターで作り出したカード番号が有効であるかどうか調べるために機械的に特定のコンテンツに対してカード番号の有効チェックを行います。当然クレジットマスターが作り出した全てのクレジットカード番号が真正なカード番号とはなりませんので、クレジットカード会社の不正検知システムはカード番号エラーのアラームを出し検知されたものの処理をします。

5.マルウェアによる情報漏洩の一例
ここでは、ホームページを閲覧するだけでパソコンがウィルスに感染してしまうというVAWTRAK（ボートラック）について紹介します。脆弱性がありマルウェアに感染している特定サイトのHPを訪問することで閲覧しているコンピューターがマルウェアに感染してしまうものです。マルウェアには複数の金融機関、クレジットカード会社の会員専用偽（にせ）画面データが埋め込まれており、会員が会員専用画面を開いて操作した時ウィルスが動き始めます。会員専用画面を開くとウィルスは活動を始め会員専用画面に打ち込まれている重要事項の情報を盗み出し、外部へ送信するのです。日本国内でも多くの被害が発生しました。