進むカード不正利用の手口の巧妙化
クレジットカードの第三者利用による不正利用といえば、ここ1〜2年で日本での被害額も急増しており、2022年の被害額は、表面化している額でも年間で411億円(過去最悪の被害規模)でした。
加えて、2023年は不正被害は減少傾向にならず、むしろ増加傾向にあり、昨年の被害額を更新するのではないかとも囁かれています。
日本クレジット協会が発表している2023年の第一四半期(1月〜3月)の不正利用被害額は121.4億円でした。(前年同期比121.3%)
参照URL:https://www.j-credit.or.jp/download/news20230630_a1.pdf
これに対し、非対面でのクレジットカード取引に関わるあらゆるステークホルダーはこぞって対策を講じています。
経済産業省は、クレジットカード決済を運用するためのガイドラインを整え、それに従いクレジットカード会社・決済代行会社・ECベンダー・ECサイトの運営会社は、各々でシステム投資やコスト、工数をかけて身銭を削りながら急務として対応を進めています。
しかしそれでも、この不正利用はなかなか一筋縄で減少しないのが現状です。
なぜなのでしょうか?
理由として考えられるのは、カードの不正利用の手口が日々巧妙化しているためです。
カードの不正利用を行う側と不正を対策する側の関係性は常にイタチごっこで、終わることはありません。
また、不正を対策をする側が打っている対策は、過去の不正利用の手口の傾向に基づき推論立てているものに過ぎません。
不正対策の実情として、未来を予測して不正利用者に対して先手を打って行えるものではないため、根本的な策とは言えないからです。
この辺りの話はこちらのブログ記事でも深掘りしているのでぜひこちら(”不正検知システム”とは?~何をしてくれるサービスなのか~)も読んでいただければと思います。
今回は具体的にどんな新たな手口が出ているのか、みなさんにご紹介していきます。
不正利用の手口のおさらい
新種の手口の紹介をする前に、従来の手口を簡単に以下の図でおさらいしましょう。
①まずは本来のカードホルダー(善意の第三者)のカード情報が何らかによって漏洩します。例えば利用していたECサイトやそのECサイトが利用している決済システムが情報漏洩を起こしたり、フィッシングサイトに引っかかってしまいカード情報を入力してしまったりなどのパターンが考えられます。
②漏洩したカード情報はダークウェブ(闇サイト)で売買され、そこで不正利用者がカード情報を大量に買い付けます。
③購入したカード情報を使ってECサイトでものを注文します。
④物販のECサイトで注文したのであれば、モノが不正利用者の元に届きます。
⑤本来のカードホルダーのもとに、その分の請求がカード会社を通じて届きます。
⑥届いたモノを不正利用者は日本国内のフリマサービスや海外のマーケットなどに転売します。
⑦転売したものの買い手がつけば不正利用者は現金またそれに該当する対価を得ることができます。
上記は、従来から見られる手口の一連の流れですが、これらの流れの一部を不正利用者側は少しずつ変化させ、手に入れた第三者のカード情報の現金化を試みています。
例えば、以前過去に記事で紹介した、上記の流れの④と⑥を組み合わせるような手口や、③と④の実行犯を無関係な人物にする手口などが確認されています。
関連記事「不正配送先住所との照合の落とし穴 | カード不正対策4方策」
新手の個人情報売買の実態
では、次に新たに確認された手口について紹介していきます。
まずはこちらの画像をご覧ください。
こちらはとあるユーザーのX(旧Twitter)の投稿です。
(※ユーザー名はマスキングしています。)
投稿の文章には堂々と「クレカ販売」の文字があるのが確認できます。
さらにその下には「通常◯」と「3Dセキュア◎」とあり
それぞれ1枚当たりの値段が記載されています。
恐らくですが、第三者のカード情報を5千円〜販売していますよ、ということが推測できます。
3Dセキュアについてもご丁寧に記載されていますので、3Dセキュアのパスワード付きのカード情報を販売可能であることを示していると考えられます。
それだけでなく後に「支払方法はBTC限定」と続いています。
実際にカード情報を購入する際は、その対価はビットコインといった仮想通貨で支払う必要があるのでしょう。
また、投稿の中に「Telegram」と言う単語が含まれています。
犯罪組織や闇バイト組織などがよく使用するメッセンジャーアプリとして有名ですが、
こういったクレジットカード販売についても詳細のやり取りは、本アプリで行われるのでしょうか。
正直なところ、文面のみの投稿内容であればあまり信憑性は高くないため、実際には偽ってビットコインだけを騙し取る手口とも推測できますが、注目すべきはこの投稿に添付されている画像です。
なんとこの投稿に添付されている画像には、まさに個人情報といえる情報がそのまま記載されていたのです。
(※この記事を作成するにあたり、あらゆる箇所をマスキングしています。)
この投稿者もこの「クレカ販売」の信憑性を増すために画像を添付していると思われますが、その内容は多くの個人情報が含まれているものであり、非常に生々しいものでした。
画像の個人情報には、フルネームでの名前、生年月日、住所、電話番号、メールアドレス、何かのログインパスワードと思わしきものまで、全て記載されていました。
カード情報についても、カード番号、有効期限、セキュリティコードとあらゆる情報が書かれていました。恐らくここで投稿されている内容は、サンプルとして掲載しているので、実際にはすでに使えなくなっているカード情報ではないかと考えられます。
これだけでも個人情報がSNSなどで、たった数千円で売買がされている実情が見えてきました。
他にも類似する投稿がないか調査してみましたが、同様の内容は後を立たず投稿され続けていることがわかります。
以下の画像はそのうちの一つです。
こちらは別のユーザーから投稿されていたものです。
その投稿に添付されている画像は1つ前に紹介したものとは違い、個人情報も日本語で記載されている部分があるため、よりリアルな恐怖を感じてしまいます。
1つ前のものとの違いとしては、日本語表記だけでなく「Password 3D」という項目も明記されている点も明らかな違いです。
やはり、3Dセキュアのパスワードも漏洩してしまっている可能性は高いでしょう。
犯罪意識がない購入者
かなり衝撃的な内容ですが、一般的な倫理観があれば何てことなく、このような投稿者に対して全く旨味が生まれないのは言うまでもありません。
しかし、この手の投稿が多数あると言うことは、何の疑いもなく実際に購入してしまうユーザーが一定の割合で存在しているのではないでしょうか。
下の添付画像は、先ほどの投稿者が別で投稿していた画像です。
一部マスキングしていますが、おそらく購入者との投稿者でのやり取りをキャプチャしたものと考えられます。
もちろん、このやり取り自体が信憑性を持たすためだけの捏造されたものの可能性もあります。
左のやりとりは投稿者からの送信している内容であり、恐らくカード情報を含む個人情報を購入者に対して送っているものと見受けられました。
ここで「●●で使用できたら〜」という一文がありますが、この●●の部分にはとあるOTA(オンラインの旅行ECサイト)の名前がありました。
なぜ、そのECサイトで最初に決済させたいのかという真意は不明ですが、この画像にはないやり取りの中で、ユーザーにECサイトで指定した旅行商材を購入させ、購入した商材を不正集団側で転売していることも、可能性として考えられます。
いずれにせよ、そこで決済できたらそのあとは好きに使ってくれてよいと言うことでしょうか。
また、右側のやり取りでは、購入者から「●●に登録しても大丈夫ですかね?」という質問があります。けして大丈夫ではありませんですが、この●●の部分にはいわゆる●●payといった特定のサービス名が入っていました。
このやり取りが本当なのかどうかは定かではありませんが、もしこの売買が本当だとすれば(当然クレカ販売をしている側が悪いといった前提ですが)、購入してしまうユーザーにも非があると考えています。
目視チェックをしていても見分けられない不正注文の実態
今回みなさんに見ていただいた一連のやり取りが実際に行われているものなのかどうかは定かではありません。
しかしながら、このような売買が実際にネット上で行われているのではないかと思われる相談内容が最近になって増えてきました。
例えば、弊社の不正検知サービスをご利用いただいている加盟店さんから「不正利用が確定したものを後から見返しても怪しいところが1つもない」というご相談がありました。
仮定の話にはなりますが、そういった不正利用は、悪意を持っている不正集団による仕業ではなく、今回のような悪意なくただの私利私欲のために第三者のカード情報を利用しているユーザーによる手口の可能性も考えられるのです。
弊社の不正検知サービスは不正利用とその対策がいたちごっこであることを理解した上でサービスを運営しています。
日々新たに出てくる不正手口に対しても機能をアップグレードしながら、真摯に不正利用に立ち向かっています。
不正利用にお困りの方はぜひお問い合わせください。
ちなみに今回紹介したような悪意のない第三者カード利用ももちろん犯罪行為ですので、決して手を出さないようにしましょう。
そして、このような犯罪には大学生などのお金のない若年層が巻き込まれるケースが多いので、ぜひ家族や親族で該当するような方がいたら、共有していただけると幸いです。