クレジットカード犯罪の手口と対策方法について

ICチップ入りのカードでは窃盗を完全に防ぐことができません。その理由と事前にできる対策について解説します。

クレジットカードやキャッシュカードなどの利便性と安全性は近年ますます向上し、キャッシュレス決済が急速に普及しています。しかしサイバー犯罪者は、依然としてカードを使って被害者からお金を盗みだしています。最もよく使われる手法とはどのようなもので、私たちはどのような対策を取ればよいのでしょうか。

カードの偽造

カードの磁気データに情報が保存されていれば、詐欺師はそのカードを偽造して、お店での支払いに使用したり、ATMからお金を引き出すことに使うことが可能です。まず、磁気データを特殊な読み取り装置で盗み取ります。その装置とは、ATMや店舗の端末に取り付けられたスキミング用のものです。さらに、端末のキーボードに特殊なパッドやカメラが取り付けられるケースもあり、それによってカードの暗証番号を特定します。カードの磁気データと暗証番号を入手したら、詐欺師はこのデータを空のカードに書き込み、ATMや店舗で使用します。

この手口は、今でも地球上のどこかで使われています。しかし、チップが埋め込まれたICカードの誕生により、スキミングが成功する可能性は低くなりました。ICカードの偽造はそう簡単にはできません。そのため犯罪者は、悪意のあるコードで決済端末を感染させ、被害者が買い物で支払いをする間に一部のデータをコピーし始めました。その後、詐欺師は盗んだ情報をもとに、決済のリクエストを巧みに生成します。基本的に、詐欺師は、磁気ストライプに記録されていたデータを送信するだけですが、その取引を、ICチップによって実行されたものとしてラベルを付けます。この手法は、金融機関が十分な細かい情報に基づいて、さまざまな取引パラメータを相互参照せず、すべてのICカードが遵守すべきEMVプロトコルを適切に導入していない場合にのみ有効です。

このようなずさんな手口が通用しない金融機関に対して、攻撃者はさらに巧妙な手法を使います。決済の端末に、もともと悪質のあるコードを仕込んでおき、被害者がカードで通常の支払いをする間、別の不正取引も同時に発生するよう要求します。このような手口では、カードそのものはコピーされないものの、カードからはお金を引き出すことは可能になります。

身を守る方法:カード、スマホやウェアラブルでも利用できる非接触型タッチ決済を使うようにしましょう。それでも端末にカードを差し込む必要がある場合には、不審な細工がされていないかどうか、暗証番号を入力する画面を注意深く確認してください。また、暗証番号を入力する際には、画面を手やお財布などで覆い隠すようにしましょう。端末が突然、タッチ決済を受け付けなくなったり、画面に見慣れないメッセージが表示されたり、何度も暗証番号を入力するように求められたりする場合は、疑いの目を持って追加の予防策を講じるべきです。たとえば、口座の取引明細を即座に確認したり、カードでの利用限度額を低い金額に設定します。

「防弾」お財布
最近では、たとえば公共の交通機関などで物理的なカードを遠隔操作で他人に読み取られないように、RFID保護対応のバッグ財布を購入できるようになりました。このような保護対策には何の問題もありません。実際に保護してくれるでしょう。しかし、ここで想定されるような攻撃は事実、一度も実行されたことがありません。短時間でのスキャニングでは、カードからは基本的な情報しか読み取れず、通常支払いを行うには不十分です。その一方で、非接触型の支払いであれば、支払いを最後に行った場所や金額を簡単に特定できます。

 

ネット経由のカード情報窃取

詐欺師がカード情報を狙う理由は、オンライン決済を望んでいるからです。必要な情報は、カードの番号、有効期限、認証コード(CVV/CVC)です。国によっては、カード保有者の名前、郵便番号、パスポート番号も狙われます。このようなデータを収集するのに効果的な方法は次の3つです。

  1. 偽のオンラインストアを作成して被害者を誘導。本物のオンラインストアの偽サイトでフィッシングを試みる、慈善事業のための募金と称してお金を窃取する。
  2. 実在するオンラインショップのWebページに不正コードを挿入する(Webスキミング)、被害者のコンピューターやスマートフォンに不正侵入する(バンキング型トロイの木馬)
  3. 実在するオンラインストアをハッキングして、保存されている顧客の支払い情報を盗み出す。運営側はカードの全情報を保管してはならない決まりになっていますが、残念なことにこのルールに対する違反行為はたびたび発生する。

全体的に見て、詐欺師の手法はそれほど複雑ではありませんが、依然としてよく使われています。カスペルスキーの分析によりますと、カードデータ窃取を試みる攻撃件数は、2021年と比較して2022年では、約2倍の件数にのぼっています。

身を守る方法:まず、オンラインでの支払い用にバーチャルカードを用意します。手間がかかると思わない人、取得手数料の支払いを躊躇しない人であれば、少なくとも1年に1回、新しいバーチャルカードを取得して、古いカードを破棄するとよいでしょう。2番目に、オンライン決済の利用限度額を低く設定しましょう。または。カードの残高をより少ない金額にします。3番目に、オンラインでの決済の際には必ずワンタイムコード(3Dセキュアやこれに類するメカニズムを使用)で支払い額を再度確認するように設定しましょう。これはご利用の金融機関に相談してください。そして4番目に、支払いに関する情報を入力する際は、サイトの支払いフォームやアドレスを注意深くチェックします。心配な方は、カスペルスキーの[placeholder k Premium]cybersecurity tools[/placeholder] を利用すればオンラインの決済の保護をお手伝いします。

時代遅れのカードやスマホの窃盗

これは、もちろん最も分かりやすく露骨な窃盗の手口ですが、頻繁に発生しています。抜け目のない犯罪者であれば、追加の認証コードを入力しなくても済むオンラインストアを見つけ出し、盗んだカードを使って支払いを完了します。盗んだカードで、暗証番号の入力が不要な非接触型の支払いをするのはより簡単で実に効果的です。この方法で決済する場合には通常利用限度額が設定されており、一部の国ではタッチ決済が3回から5回行われた後に、カードがブロックされる場合があります。スマホは盗む側にとって常に価値が高く、もしGoogle Payが有効になっていれば、ロックされているスマートフォンでも利用限度額まで決済を続けることが可能です。 これにより、被害者にさらなる損失をもたらす可能性があります。

セキュリティの研究者は、間違った暗証番号を3回入力してカードがブロックされても、タッチ決済を行うことが可能であることや、攻撃者は、ロックされたスマホのデータを交換し、交換したデータを改ざんして、不正な支払いを1回行うことができる可能性があることを示しています。幸いにも、この2つの攻撃方法は、常識のある研究者によって発見されたため、実際詐欺師はこれらの手を使っていないとみられています。

身を守る方法:日常生活で使用するカードの限度額は、少なめに設定しておくことが重要です。ご利用の金融機関で設定が可能であれば、非接触型の支払いでの利用限度額を別途設定することができます。もちろん、必要に応じて迅速に利用限度額を増額できることを確認しておく必要があるでしょう。またその他の方法として、利用限度額を低額に設定したバーチャルカードを取得して、このカードをGoogle/Apple/Samsung Payで使用するようにできます。支払いアプリをロック解除されたスマホでのみ支払いを許可するように設定できれば、そのようにしましょう。

結論として、多くの国では詐欺被害額の一部または全額を補償する規定が導入されています。この規定を利用するためにも、すべてのカード支払いについて注意を払うこと、支払いを通知する迅速な方法を設定すること(プッシュまたはSMS)、疑わしい取引があった場合には金融機関にすみやかに連絡することをお勧めします。

ヒント