クレジットカード番号の自動生成によるなりすまし購入で初の摘発！遅れる対策

機械を使ってカード情報を盗むスキミングや、偽の金融機関サイトにIDとパスワードを入力させるフィッシングといったカード犯罪が起こっている昨今。今回国内で初めて摘発されたカード犯罪の手口は、クレジットマスターという方法だった。

クレジットマスターとは、16桁の本物のカード番号を元にして、一定のアルゴリズムに従って番号を弄り、現在使用可能なカード番号を手に入れる方法のこと。カードの番号が一定の法則に基づいて発行されているという部分に着目した、古典的ではあるけども身を守るのは難しい犯罪。

カード名義人をチェックしていないネットショップが標的

インターネットショッピングでカード決済を利用する時、カード番号・有効期限・カード所有者名・セキュリティーコードの入力を求められるのが一般的。

しかし、カードの不正利用対策に投資をしていない店舗では、カード番号と有効期限の入力しか要求しなかったり、カード所有者名の入力を要求していても実際にチェックしていなかったりする。名義人をチェックしているかどうかを確かめる方法は至って簡単で、購入時にわざと名前を間違えてみるだけである。

クレジットマスターの手口を使う犯罪者は、こういったセキュリティーが甘いショップを狙うわけだ。

ネットには、カード番号と有効期限を登録すれば買い物ができる通販サイトがあり、この手口で不正に入手した番号を打ち込むと、実在のカード番号に当たる可能性がある。有効期限は元のカードの期限がそのまま該当する場合がある。

計算で他人のカード番号割り出す「クレジットマスター」初摘発へ – ITmedia News

しかし、たとえクレジットマスターで他人のカード番号の割り出しを行ったとしても、有効期限のチェックがあるので不正利用は面倒だ。ブルートフォースアタックで総当たりを掛けると、さすがに目を付けられる。しかし、有効年数×12(ヵ月)分の1の確率で一発で当たりを引けば不正使用が可能だ。

カード番号を誰にも教えていないのに、勝手に番号を割り出されてしまって、有効年数チェックもすり抜けられて、不正に買い物されてしまうわけだ。この辺りが、具体的な防止策がないといわれる所以だ。

カード番号ジェネレーターが出回る程、古典的な手法のクレジットマスター

一定の法則に従って形成されている16桁のクレジットカードの番号。どの会社がカードの発行元か？などの情報が含まれている。

クレジットカードの番号が規則正しく生成されているのであれば、番号生成ソフトにやらせればいいじゃないかと考えるのは人間の常。昔の人も同じようなことを考えていて、番号ジェネレーターも当時からネット上に出回っていたし、現在も出回っている。

こんな古典的な犯罪であるにもかかわらず、2009年になって初の摘発。しかし、不正利用対策は行われないまま。

何故だろうと考えてみると、物事を単純化してみると以下のようになる。

1. 不正利用された会員がカード会社に連絡する。
2. カード会社は不正利用されたのを認めて会員に補償する。
3. カード会社は保険会社に保険金を請求する。
4. カード会社が保険会社に支払う保険料は、カードを利用している会員から吸い上げる。

結局の所、不正利用された会員の被害金額を負担しているのは、カード利用者全員ということになって、カード会社の懐は全く痛まないシステムになっている。

このことが不正利用対策を遅らせている原因になっているのではないだろうか。

• クレジットカード
• 犯罪

2009/7/8 0:46 am その他の関心事