クレジットカードや電子マネーをはじめとするキャッシュレス化が急速に広がる中、カードの不正利用が増え続けている。中でも情報を抜き取ることなく番号総当たりで他人のカードを不正に利用する「クレジットマスター」と呼ばれる古典的手口が水面下で拡大。専門家は、プログラムやノウハウが広まり、犯行が助長されたと指摘している。
カード番号の盗用が大半
日本クレジット協会によると、クレジットカードの不正利用の被害額は昨年、過去最悪の約540・9億円に上った。内訳はカード番号の盗用がほとんどで、504・7億円を占めた。インターネット通販の普及を背景に被害額は年々増加し、今年も3月までの3カ月間で121・4億円の被害が確認されたという。
従来よくみられたのは偽サイトなどに誘導し番号などを入力させ情報を盗み取る「フィッシング」の手口だった。だが、クレジットカードの不正検知システムなどを提供する「かっこ」(東京都)は「2年ほど前からクレジットマスターの相談が増えてきた」とし、正確な被害件数は分からないものの注意を呼びかけている。
自覚ないままに被害、対策は
クレジットカードの番号は14~16桁で構成されているが、カード会社や国際ブランドごとに番号には一定の規則性がある。こうした規則性にのっとって番号を自動的に生み出し、「当たり」を引くまで決済を試みる、というのがクレジットマスターの手口だ。
犯人は自動で番号の組み合わせを生み出すプログラム「ボット」などを利用することで効率的に決済を試みているとみられ、かっこの担当者は「ノウハウが広まり、ボットを組むことが容易になったと考えられる」と話す。
被害者側からすると、カードそのものやカード情報を盗まれたという自覚もない中、知らない間に不正利用されるという状況になる。たとえカードを金庫に入れていても、犯人が番号を一致させてしまえば不正利用される可能性があり、被害を未然に防ぐことは困難だ。
かっこの担当者は、こうした被害の拡大を防ぐ手立てとして、こまめに明細を確認することやカードを使用した際、リアルタイムで通知が来る設定にすることを挙げる。
また、「クレジットカードの管理が行き届かなければ、不正に気づきづらくなる」と指摘。普段使わない不要なカードは整理し、必要以上に持たないことも被害を防止する対策になるという。
ECサイト事業者にも多大な損害
「不正利用の可能性があるため、カードの利用を一部制限いたしました」-。こうしたメールが突然届き、クレジットマスターの攻撃に遭ったことに気づく人も多い。犯人側は一件の「当たり」を引くために、自動で番号の組み合わせを生み出すプログラム「ボット」などを利用し、次々と決済を試みている。
この総当たり作戦によって、カードの所有者だけでなく、インターネット通販(EC)サイト事業者側も被害を受けている。
かっこによると、事業者側は、購入者側が提示、入力したクレジットカードが有効かどうかを確認するための「オーソリゼーション」(オーソリ)と呼ばれる作業を行う。
この作業にかかる費用は「オーソリ費用」と呼ばれ、決済1件ごとに10円など少額の手数料が発生。クレジットマスターによって大量の偽のカード情報が入力されると「多いときで数十万円単位のオーソリ費用がかかる」(かっこ担当者)といい、これらを全て事業者側が負担しなければならないという。
また、オーソリでエラーが多発すれば、最悪の場合、全体のカード決済を一時的に止めなければならない場合もあるといい、事業者側の売り上げやブランドイメージにも傷が付く可能性がある。かっこではEC事業者に対し、オーソリの前に不正注文を検知するサービスの利用を提案。日本クレジット協会は、ECサイトへの本人認証サービス(3Dセキュア)の導入などを推奨している。(藤木祥平)