クレジットマスターの手口について
ロッカーや郵便受けにある3桁の暗証番号を忘れてしまった場合、111から999まで順番に回して正解を探した経験、皆さんも1度はあるのではないでしょうか。
同じ発想で、クレジットカード番号も16桁の数字である以上、順番に当てていけばいつかは実在するものと一致することになります。最初の6桁はクレジットカード会社を表す番号で、残り10桁が個人番号です。この番号には法則があるので調べれば特定することは難しくありません。3桁または4桁のセキュリティーコード、年月の数字4桁を入力する有効期限も同様です。3桁のセキュリティコードの場合1000パターン検証すれば導き出すことができ、年月に至っては60パターンで特定可能です。氏名や住所はECサイトによって入力が不要な場合もあります。このようにクレジットカードの特徴上、完全にクレジットマスターの被害を防ぐことは難しいです。
自社ECサイトの決済ページが、誰かのクレジットカード情報の割り出しのために悪用されてしまうのです。
クレジットカードを使用していなくても被害にあう
クレジットマスターは専用端末を使い、カード裏面の磁気ストライプ情報のコピーを作成するスキミングや、カード番号を盗み見るといった他の不正利用の手口とは性質が異なります。カード番号を割り出すだけなので、クレジットカードそのものを使用する必要がありません。そして被害にあった直後は気づきづらいです。また、正当な企業やサービスからのように見える偽のメールを送信する詐欺の一種であるフィッシングのように、本人認証を突破するためにターゲットの必要な情報を入力してもらう必要もありません。そのため普段使用していないクレジットカードでも被害にあう可能性がありえるのです。使っていないクレジットカードでも油断しないようにしましょう。
カード情報漏洩によるクレジットマスターの手口の変遷
10年以上前に頻発していたクレジットマスターによる不正の手口にも変遷があります。
要因の一つは、個人情報漏洩によるクレジットカード番号の大量流出です。この流出したカード番号は、安いものであれば闇サイト上で1枚2~3ドルで売買されています。
クレジットマスターによるアタックは短期間に集中し大量アクセスを行いますが、すぐに遮断されるリスクもあります。そこへかけるコストに比べると、巷から他人のカード情報を不正に「購入」するほうが、費用対効果がいいのです。その証拠に近年クレジットマスターによる被害は、全体的に減ってきていると言われていました。
クレジットマスターによるアタックの再興か?
最近ではレガシーとなりつつあったクレジットマスターによるアタックですが、実は2018年以降再度急増している傾向があります。アクルにも多くのご相談がきており、その流れは継続、むしろ2021年以降はより大幅に増えている印象です。
1日に数万件から数十万件のアタックを受けたカード加盟店からのご相談の中には、そのためにカード決済のストップを余儀なくされたということもありました。
ここ最近の手口の傾向とは
以前は「寄付系サイト」などが主流でしたが、最近では「物販サイト」におけるアタックが増えてきているのが特徴です。
また、数年前はこうした機械的なアタックは、1日あたり数万件から数百万件の規模で集中するため、非常に目立つものでした。
しかし、昨今の機械的アタックは1分間にアクセス3件、など意図的に間隔を設けるなど手口が巧妙化しています。1つのECサイトへのアタックではなく、複数のECサイトに対してアクセスを分散させる手口も耳にします。分散により気付かれにくくするためです。他にも気付かれにくくする狙いが垣間見える特徴として、土日・深夜帯でのアタックが多い点も挙げられます。さらに近年、クレジットカードの不正利用において人工知能(AI)、機械学習(ML)が悪用された痕跡が見受けられるケースも増加しています。カード不正利用の下準備に必要な作業を自動化するために利用されているのです。
ECサイト(カード加盟店)の立場では、目立った経済的な実損が発生しません。システムによる与信処理料が少し増えるのみです。そのため、加盟店側でアタックの発生自体を認知していないケースも多くあります。
まとめ
昨今のクレジットマスターの手口は巧妙化してきています。そのため対策は必須でしょう。具体的な対策方法をこちらの記事でご紹介しているので合わせてご確認ください。