ここが危ないインターネット クレジットカードの落とし穴 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.09.23(土)

ここが危ないインターネット クレジットカードの落とし穴

製品・サービス・業界動向 業界動向

 高度な技術が犯罪やサイバーテロに不可欠なわけではない。パソコンやネットの素人でもちょっとした知識と所定を踏めば簡単に犯罪やサイバーテロを行うことができる。
 このシリーズでは、ほとんど技術をもたない人間でも実行可能な危険性や実例を中心にご紹介する予定である。

 今回は、知っていそうであまり知られていない落とし穴=クレジット決済を考えてみる。


>> クレジット決済に必要な情報はクレジット番号と有効期限だけ

 わが国のクレジット決済は、NTTデータがもつ決済サービスCAFIS( http://www.cafis.jp/ )に接続して決済されているケースが多い。
 ECサイトなどのクレジット決済情報は、CAFISに送信され、CAFIS経由で各クレジット会社に照会、決済される。
 このCAFISが決済の際に必要とする情報は、クレジット番号と有効期限だけである。
 つまり、クレジット番号と有効期限だけで、オンラインでクレジット決済を行うことが可能である。
 多くのECの決済では、クレジット番号と有効期限以外に、氏名、住所、電話番号などを入力することが多いが、これらの情報はクレジット決済上は不要な情報ということになる。


>> キャッシュディスペンサーの周りに落ちている伝票の情報で決済できる

 他人のクレジット番号と有効期限を入手する方法はいたって簡単である。わざわざ個人情報が保管されているサーバをクラッキングするような手間をかける必要はない。
 クレジットカードの利用できるキャッシュディスペンサーの周りには利用伝票の紙くずが落ちていることが多い。この紙くずに記載されているクレジット番号と有効期限のみがあればECサイトのクレジット決済を行うことが可能となる。
 ECサイトで他人のクレジット番号と有効期限を入力し、自分の住所と氏名をいれれば、求める商品を他人のお金で入手することができるようになる。


>> クレジット決済代行業者の予防措置

 現実的には、直接CAFISに決済情報を送信しているECサイトは、それほど多いわけではない。CAFISとの直接の接続を行うためにはシステムの開発が必要であり、それなりにコストがかかる。直接CAFISと接続することが難しいECサイトのために、代行決済業者というものが存在する。代行決済業者は、ECサイトから決済情報を受け取り、ECサイトのかわりにCAFISに接続して決済を実施する。ECサイトから決済業者に決済情報を渡す際には、form文を利用するなどして、WEB制作ができる人間ならば、簡単に決済業者との接続ができるようにしている。

 決済代行業者はさまざまな業者が存在する。最大手といわれるのはソニーファイナンスインターナショナル社であり、年間のクレジット取り扱い高は、900億円程度と見られている。他の大手にはゼウス社などがある。

 CAFIS自体は前述のように、クレジット番号と有効期限しかみていないが、決済代行業者のサービスでは独自に氏名、住所、電話番号などを入力させていることが多い。決済代行業者とクレジット会社の間の契約により、事故=回収不能の債権は決済代行業者がかぶることになっているため、業者自身で与信の精度をあげる工夫をしている。

 与信の精度をあげる方法としては、住所や電話番号の論理チェック(でたらめをはじく)、フリーメールアドレスの排除、過去のブラックリストとのつきあわせなどがあげられる。
 なお、ソニーファイナンスインターナショナルやゼウスのような大手はクレジット会社とダイレクトに接続したり、海外の決済サービスと接続するなどして、CAFIS以外の決済を用いていることも少なくない。ただし、その決済で必要な情報は、やはりクレジット番号と有効期限程度であることが多い。

ソニーファイナンスインターナショナル
http://www1.sonyfinance.co.jp/
ゼウス
http://www.cardservice.co.jp/


>> 決済を行うための自分以外の人間の個人情報の入手方法

 しかし、当たり前であるが、過去にクレジット事故を起こしたことのない実在する個人の情報であれば、これらのチェックでひっかかることはない。実在する個人の氏名、住所、電話番号などは、電話帳を開けば簡単にいくらでも入手できる。クレジット番号とその他の個人情報はひもづけされていないため全く関係ない第三者の個人情報でも決済上問題はない。

 ターゲットとなる相手が特定されている場合(個人的なうらみなど)は、クレジット番号と個人情報を入手するもっとも簡便な方法は、毎月クレジット会社から郵送されてくるクレジット明細書を郵便受けから盗むことである。これは立派な犯罪であるが、実行は容易である。オートロックではないアパートやマンションならカギがかけていなければクレジット会社から郵送物が来る日を選んでターゲットのポストまでゆけばよいし、オートロックであっても開くことは簡単である。オートロックの自動ドアの下の隙間から大きめの紙(A4で十分)をドアの向こうに滑り込ませると、センサーが感知してドアが開く。


>> 個人が自分のクレジットカードを守る方法

 ・クレジットカード番号は取り扱い注意であることを認識する
 ・クレジットカードの伝票は必ずやぶってから捨てる
 ・郵便受けにカギをつける
  特にオートロックだとカギをつけない/あってもかけない人が多い
 ・毎月やってくるクレジット会社の明細を必ずチェックして不信な決済がないかを確認する。

 当たり前のことではあるが、当たり前すぎてやっていない人も多いのではないだろうか? もう一度自分のカード利用を見直してみて欲しい。


>> キャッシュに変える方法は?

 もちろん、せっかくクレジットカードで買い物ができてもキャッシュを入手する方法がなければ意味がないと思う方もいるだろう。
 また、足跡を消さないといけないだろうという疑問もあると思うので、そちらもいずれご紹介する予定である。ちなみに、技術なしでも安全なアクセス方法は足跡を残さない方法よりも、足跡がいくら残っても追跡不能な方法だろうと思うのである。
 その方法と防ぎ方については、後日あらためてご紹介する予定である。

関連資料
辛口コラム集「PrisonerLangley the column vol.01」
https://www.netsecurity.ne.jp/article/10/10589.html


[ Prisoner Langley]


《ScanNetSecurity》

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

製品・サービス・業界動向 カテゴリの人気記事 MONTHLY ランキング

  1. 次世代FW+Sandbox+SIEM+SOCの管理体制が限界を迎えるとき~三年後を先取りするVectra Networks社製品とは

    次世代FW+Sandbox+SIEM+SOCの管理体制が限界を迎えるとき~三年後を先取りするVectra Networks社製品とは

  2. 「サイバーセキュリティ関連で最もクールな4つの職種」を発表(マカフィー)

    「サイバーセキュリティ関連で最もクールな4つの職種」を発表(マカフィー)

  3. 世界の大規模漏えい事故から、日本企業の「社外」にある情報資産を可視化(イード)

    世界の大規模漏えい事故から、日本企業の「社外」にある情報資産を可視化(イード)

  4. 30年度サイバーセキュリティ政府予算730億円、防衛省と厚労省が各45億円超(NISC)

  5. 顔認証システムの現状、顔写真を使った「なりすまし」も3Dデータ照合で防ぐ

  6. ルートゾーンKSKの情報更新など呼びかけ、期限は9月19日まで(総務省)

  7. 自分の利用しているサーバの状況を確認する方法 不正中継確認

  8. ルートゾーンKSKロールオーバーのプロセス開始、DNSパケットサイズに注意(JPRS)

  9. アジア以外ではランサムウェアの検出数が前年の2倍に、脅威の進化も(チェック・ポイント)

  10. 「FFRI yarai」「CWAT」にサイバーセキュリティ保険を付帯(NTT-AT)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×