あなたのクレジットカードが狙われる！ ウェブスキミングとクレジットマスターとは？

具体的には、早朝にあるサイトで少額の利用があり、その数時間後に複数のサイトで不正利用されていました。勝手にハロウィンのパーティーグッズ、テーマパークのチケットなどが購入されており、11万円超の被害が出ています。クレジットカード会社の監視により連絡があったため被害を逃れましたが、まったく使っていないカードが不正利用されたことからびっくりされたようです。

筆者が推測するに、最初の早朝の少額利用は「クレカが有効かチェックする作業」で、その後の購入が本格的な不正利用だったと思われます。この「有効かチェックする作業」というのがクレジットマスターの重要な手口なのです。

自動生成番号をチェックする手口

クレジットマスターでは、カード番号等を自動生成するプログラムを使ってカード番号を作り出します。ただ、自動生成した番号はあくまでランダムであるため、実際に有効なカードである可能性はとても低くなっています。

そこで犯人は、クレカ番号が有効かチェックできてしまうECサイトを利用します。

クレジットカード決済できるECサイトは、さまざまなチェック・認証を行って不正利用を防止する仕組みになっているのが一般的です。

しかし、一部のECサイトではこのチェックが甘い現実があります。甘いサイトでは、クレジットカード番号などを入力して「有効なカードかどうかチェックする作業」が何度もできてしまうのです。犯罪者はこの甘いサイトを利用し、自動生成したクレカ番号をチェックにかけて有効な番号を探し出す作業をするのです。

自動生成したクレカ番号はほとんどが存在しないものですが、大量に繰り返すと偶然にも有効なカードと一致するものが出現します。犯罪者は、その偶然にも一致したカード番号を使って不正利用するのです。
サイトで異なる決済の認証要素

自動生成されたカード番号で決済できてしまうのはなぜでしょうか？　それは、決済時の認証要素が少ないECサイト、言い換えれば対策の甘いサイトが使われるからです。

クレジットカードには、認証の要素が大きく分けて3つあります。

① クレジットカードの盤面に書かれている要素：16桁のクレカ番号、有効期限、名義、3桁もしくは4桁のセキュリティコード
② 店頭決済で使う暗証番号：4桁の暗証番号（PINコード）
③ ネット決済用のパスワード：3Dセキュアと呼ばれるネット決済専用のパスワード。事前に設定するか、ワンタイムで発行されるものがある