あなたのクレジットカードが狙われる！ ウェブスキミングとクレジットマスターとは？

このうち、犯罪者が自動生成するのは①のカード盤面に書かれている要素で、16桁のクレカ番号、有効期限、セキュリティコードの3種類だと考えられています。16桁が偶然一致するのはとても低い確率なので、自動生成するのは難しいように思えます。

しかし、クレジットカードの16桁のうち最初の4桁はカード発行会社を表すものなので、有効なものが固定されています。最後の1桁はチェックサム（チェックディジット）と呼ばれる数字で、それまでの数字から自動的に計算されるもの。残りは11桁であり、これなら自動生成によって有効なカードを見つけ出す可能性が高まります。

このほかに有効期限もありますが、多くが5年間程度の月と年であり、これは60通りに過ぎません。セキュリティコードもありますが、3桁なら1,000通りです。

合わせる組み合わせの数は膨大になるものの、犯罪者は自動プログラムを使って無人でチェックをしていきます。チェックの甘いサイトで自動生成した番号などを試していく自動プログラムですから、何もせずに放置すればいいわけです。ここで見つかった有効なカード情報を使って不正利用していくのが、犯罪者によるクレカ不正利用の手口です。
3Dセキュア対応なら防げるが

クレジットマスターをECサイト側で阻止する方法はあります。それは③のネット決済用のパスワードを使う方法です。3Dセキュアと呼ばれる認証方法で、事前にユーザーが設定したパスワード、もしくは最新の3Dセキュアではそのたびに発行されるワンタイムパスワードで認証してから決済するものです。これなら自動生成はほぼ不可能であり、有効なクレカ番号であっても不正利用は阻止できます。

3Dセキュアは、クレジットカードの不正利用を根本的に阻止できる仕組みです。偽サイトなどで詐取されたクレカ番号であっても、最新の3Dセキュアに対応していればワンタイムパスワードによって阻止できる可能性が高まります。

ならば、すべてのECサイトが3Dセキュアに対応すればいいのに、と思うかもしれません。しかし、そうするとECサイトに不利益が生じるのです。3Dセキュアが面倒、パスワードを忘れたなどの理由で、利用者が決済をあきらめてしまうパターンが増えるからです。

そのため、3Dセキュアを使っているのは一部のECサイトに過ぎません。少額の決済が多いECサイトでは、3Dセキュアなしで決済できるものが多くなっています。安全と利便性（ECサイトにとっての売上）を天秤にかけて、ECサイトでは3Dセキュアを使わないサイトがあるということです。結果として、クレジットマスターなどの不正利用を阻止することが難しくなっています。