海外における個人情報流出事件とその対応第182回世界中で犯罪者が狙うPIN番号 (1)増加し続ける偽カード使用による損失

　バーミンガムで偽のデビットカードやクレジットカードを作成していた犯罪組織の工場が家宅捜索され、2名が逮捕されたと8月12日、英国の決済協会、APACSが発表している。逮捕をおこなったのは、Dedicated Cheque and Plastic Crime Unit （DCPCU）で、英国の小切手やカード詐欺に取り込む特別な警察の部署だ。APACSを通じて、英国の銀行協会が警察と協力して設立した機関で、ロンドン市警察およびロンドン警視庁の捜査官も参加している。

　英国ではセキュアな支払いのための、チップ＆ピンと呼ばれるイニシアティブの導入が2004年から開始され、2006年には完全実施になった。英国政府のサポートを受けている。

　システムは従来の磁気ストライプに代わって、マイクロチップをクレジットカードやデビットカードに埋め込んだものだ。ユーザはターミナルもしくは読み取り機にカードを通して認証を受けた後、さらに4桁のPIN番号を入力して、カードを持つ本人が使用していることを確認する。

　カードはいわゆるスマートカードで、同様のシステムを導入しているフランスでは、カード詐欺を8割も減らしたと言われている。一方、救世主であるはずのシステムも攻撃に遭い、不正使用の被害を受けてきた。

　犯罪組織の工場では、カードの詳細情報を盗むための機器、不正に取得したチップ＆ピンターミナル、カードやアカウント番号、カード読み取り・書き込み機、特別なソフトウェア、偽の磁気付きカードなどが証拠品として押収されている。カードの枚数については数百枚にものぼったという。

　犯人らはPIN番号を入力するデバイスに、データを取得するための細工を行っていた。これらのPIN入力デバイスは、まず盗み出して、ソフトウェアをインストール。その後、店舗にこっそり戻していた。

　そして、消費者がターミナルを利用した際に、不正を働くためのカード詳細情報などを獲得。偽のカードを作成して、海外で、被害者の口座から出金するなどして利用していた。

　個人情報盗難事件では内部関係者の犯行が多いと言われている。今回の事件でも、一部小売店では、スタッフの助けを借りたと見られている。ターゲットにした店舗のスタッフを脅したり、買収していたようだ。その他、その店舗に就職するなどして、入りこんでいたケースもある。被害を受けた店舗は英国全体で約30店とされている。仕掛けられていたのは、スーパーマーケットやガソリンスタンドだ。

　8月の逮捕について、DCPCUのジョン・フォラン主任警部は、「この種の詐欺を行っている犯罪組織との戦いにおいて、大きな進歩となった」と、成果に満足そうだ。チップ＆ピンでカード詐欺はなくなるかと期待したものの、専門家もチップ＆ピンは完全にセキュアではないと警告していて、対策が求められる中でのことだ。

　チップ＆ピン導入後もPINの不正取得、その情報を悪用してのカード詐欺は増加している。2007年の被害総額は2006年の4億2,700万ドルに比べ、5億3,500万ドルというから、約25％の上昇だった。そのうち英国外で偽カードが使用されたケースが増えている。

　海外での偽カード使用による損失は、2006年の1億1,710万ドルから2007年は2億760万ドルに増加しており、国際的な不正による損失ということになる。増加割合についても77％にものぼった。

●増加するターミナル改ざん事件

　APACSのサンドラ・クインは、「以前はターミナルを上から撮影できるようにピンホールカメラを設置して、データを盗むケースが多かったが、現在はチップ＆ピンのターミナルになんらかの操作を加えて情報を盗み出している」と状況を説明する。「読み取り機の中からピンを獲得」しているという。APACSでも小売店からターミナルの盗難が警察に届けられているため、ターミナルが攻撃を受けていることを把握している。

　バーミンガムでの犯罪組織捜索に先立ち、英国で小切手とカード犯罪を専門に扱うDCPCUが、8月5日にカード取扱店に勧告を行った。小売店でクレジットカードやデビットカードを使用する機器に犯罪者がデータ獲得するデバイスを組み込んでいるというとして注意を喚起するものだ。

　犯罪者は小売店などの内部関係者の助けで、まずデバイスやターミナルを盗み出し、ユーザが入力するデータを不正に獲得でき…

【執筆：バンクーバー新報西川桂子】
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec