海外における個人情報流出事件とその対応 第182回 世界中で犯罪者が狙うPIN番号 (1)増加し続ける偽カード使用による損失 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.12.18(月)

海外における個人情報流出事件とその対応 第182回 世界中で犯罪者が狙うPIN番号 (1)増加し続ける偽カード使用による損失

国際 海外情報

 バーミンガムで偽のデビットカードやクレジットカードを作成していた犯罪組織の工場が家宅捜索され、2名が逮捕されたと8月12日、英国の決済協会、APACSが発表している。逮捕をおこなったのは、Dedicated Cheque and Plastic Crime Unit (DCPCU)で、英国の小切手やカード詐欺に取り込む特別な警察の部署だ。APACSを通じて、英国の銀行協会が警察と協力して設立した機関で、ロンドン市警察およびロンドン警視庁の捜査官も参加している。

 英国ではセキュアな支払いのための、チップ&ピンと呼ばれるイニシアティブの導入が2004年から開始され、2006年には完全実施になった。英国政府のサポートを受けている。

 システムは従来の磁気ストライプに代わって、マイクロチップをクレジットカードやデビットカードに埋め込んだものだ。ユーザはターミナルもしくは読み取り機にカードを通して認証を受けた後、さらに4桁のPIN番号を入力して、カードを持つ本人が使用していることを確認する。

 カードはいわゆるスマートカードで、同様のシステムを導入しているフランスでは、カード詐欺を8割も減らしたと言われている。一方、救世主であるはずのシステムも攻撃に遭い、不正使用の被害を受けてきた。

 犯罪組織の工場では、カードの詳細情報を盗むための機器、不正に取得したチップ&ピンターミナル、カードやアカウント番号、カード読み取り・書き込み機、特別なソフトウェア、偽の磁気付きカードなどが証拠品として押収されている。カードの枚数については数百枚にものぼったという。

 犯人らはPIN番号を入力するデバイスに、データを取得するための細工を行っていた。これらのPIN入力デバイスは、まず盗み出して、ソフトウェアをインストール。その後、店舗にこっそり戻していた。

 そして、消費者がターミナルを利用した際に、不正を働くためのカード詳細情報などを獲得。偽のカードを作成して、海外で、被害者の口座から出金するなどして利用していた。

 個人情報盗難事件では内部関係者の犯行が多いと言われている。今回の事件でも、一部小売店では、スタッフの助けを借りたと見られている。ターゲットにした店舗のスタッフを脅したり、買収していたようだ。その他、その店舗に就職するなどして、入りこんでいたケースもある。被害を受けた店舗は英国全体で約30店とされている。仕掛けられていたのは、スーパーマーケットやガソリンスタンドだ。

 8月の逮捕について、DCPCUのジョン・フォラン主任警部は、「この種の詐欺を行っている犯罪組織との戦いにおいて、大きな進歩となった」と、成果に満足そうだ。チップ&ピンでカード詐欺はなくなるかと期待したものの、専門家もチップ&ピンは完全にセキュアではないと警告していて、対策が求められる中でのことだ。

 チップ&ピン導入後もPINの不正取得、その情報を悪用してのカード詐欺は増加している。2007年の被害総額は2006年の4億2,700万ドルに比べ、5億3,500万ドルというから、約25%の上昇だった。そのうち英国外で偽カードが使用されたケースが増えている。

 海外での偽カード使用による損失は、2006年の1億1,710万ドルから2007年は2億760万ドルに増加しており、国際的な不正による損失ということになる。増加割合についても77%にものぼった。

●増加するターミナル改ざん事件

 APACSのサンドラ・クインは、「以前はターミナルを上から撮影できるようにピンホールカメラを設置して、データを盗むケースが多かったが、現在はチップ&ピンのターミナルになんらかの操作を加えて情報を盗み出している」と状況を説明する。「読み取り機の中からピンを獲得」しているという。APACSでも小売店からターミナルの盗難が警察に届けられているため、ターミナルが攻撃を受けていることを把握している。

 バーミンガムでの犯罪組織捜索に先立ち、英国で小切手とカード犯罪を専門に扱うDCPCUが、8月5日にカード取扱店に勧告を行った。小売店でクレジットカードやデビットカードを使用する機器に犯罪者がデータ獲得するデバイスを組み込んでいるというとして注意を喚起するものだ。

 犯罪者は小売店などの内部関係者の助けで、まずデバイスやターミナルを盗み出し、ユーザが入力するデータを不正に獲得でき…

【執筆:バンクーバー新報 西川桂子】
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

国際 カテゴリの人気記事 MONTHLY ランキング

  1. どこかへ跳んでいけ、出来の悪いラビット(The Register)

    どこかへ跳んでいけ、出来の悪いラビット(The Register)

  2. 米軍のSNSに対する膨大なスパイアーカイブ、AWS で数十テラ閲覧可(The Register)

    米軍のSNSに対する膨大なスパイアーカイブ、AWS で数十テラ閲覧可(The Register)

  3. 死亡した男性のメールアカウントを巡るヤフーと裁判所の争い(The Register)

    死亡した男性のメールアカウントを巡るヤフーと裁判所の争い(The Register)

  4. ロシアが中印らと独自インターネット構築か、グローバルDNS分裂の危機を追う(The Register)

  5. 捜査中だった米大統領選に使用されたサーバのデータが消失(The Register)

  6. 「Tor 禁止令」を解く Facebook、暗号化の onion アクセスポイントを宣伝~これからは暗号化通信も完全に OK(The Register)

  7. Anonymousが幼児虐待の秘密の拠点を閉鎖~Tor小児愛者を攻撃し氏名を暴露(The Register)

  8. インドのレジストリで情報漏えい、インドのネットを壊滅させるデータのビットコイン価格とは(The Register)

  9. Mac OS X のシングルユーザモードの root アクセス(2)

  10. WPA2の新たな脆弱性への攻撃KRACK、暗号化技術の根底にある欠陥(The Register)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×