東奔西走キャッシュレス 第59回 クレジットカードの不正利用、フィッシング対策の強化を

一昔前はフィッシングというと、日本語がおかしいなどデキの悪いメールやサイトだったのですが、最近はもうメールやサイトの見た目だけでは判断がつきづらくなっています。そのため見た目ではなく、URLを見たりパスワードマネージャーを使ったりといった対策が必要になります。

いずれにしてもこうしたフィッシング攻撃でクレジットカード情報を盗む攻撃はよくあります。

攻撃手法としては、クレジットカードの利用通知メールや不正な取引があったとの通知、何らかの重要な設定が必要だ……といった内容で、とにかくあの手この手で偽造サイトに誘導しようとします。使った覚えのないクレジットカードの利用通知が来たら焦ってアクセスしてしまうという人間の心理を突いた攻撃です。

メールの送信先は無作為なので、該当するクレジットカードを持たない人にも届いているようですが、大量に送っているのでそのメールやSMSを本物だと思ってアクセスする人が出てきます。

フィッシング対策協議会によれば、例えばMastercardを偽装したフィッシングサイトでは、本人の氏名／住所／電話番号／生年月日、そしてクレジットカード情報の入力を求めているそうです。

犯人は、こうして取得したクレジットカード情報を手元のiPhoneのApple Payに登録します。最終的に登録するためには、SMSで送信されるワンタイムパスワード（OTP）が必要となりますが、これはフィッシングサイトに入力欄を設けることで対処できます。犯人側のApple Payに登録を行い、SMS認証を行うと、被害者のスマートフォンにOTPがSMSで届くので、それを入力させるわけです。

これで、犯人のApple Payにクレジットカードが登録されたので、あとは店頭で支払いをします。その後の問題については、先述のレポートで詳細に解説されているので、そちらを確認してください。
○SMS認証を行わないアプリを利用した攻撃もある

もう1つのパターンが、クレジットカード会社のアプリを使う攻撃です。最近のクレジットカードアプリは、Apple Payにカード情報を登録する機能を備えているものもあります。この場合、SMS認証が発生せずに登録できるアプリもあるようです。前提として、アプリのログインをしている時点で認証が済んでいるという扱いなのでしょう。

このケースでも、先ほどと同様にフィッシングサイトから情報を盗むことができます。カード情報を入力させる前にログイン画面を表示して入力してもらえば、IDとパスワードを盗めます。一部のアプリでは、別のスマートフォンでログインしようとするとメールなどへのOTPによる2段階認証を要求する場合もあります。その場合も、フィッシングサイトに入力させればいいわけです。