海外における個人情報流出事件とその対応 第182回 世界中で犯罪者が狙うPIN番号 (1)増加し続ける偽カード使用による損失 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.08.18(金)

海外における個人情報流出事件とその対応 第182回 世界中で犯罪者が狙うPIN番号 (1)増加し続ける偽カード使用による損失

国際 海外情報

 バーミンガムで偽のデビットカードやクレジットカードを作成していた犯罪組織の工場が家宅捜索され、2名が逮捕されたと8月12日、英国の決済協会、APACSが発表している。逮捕をおこなったのは、Dedicated Cheque and Plastic Crime Unit (DCPCU)で、英国の小切手やカード詐欺に取り込む特別な警察の部署だ。APACSを通じて、英国の銀行協会が警察と協力して設立した機関で、ロンドン市警察およびロンドン警視庁の捜査官も参加している。

 英国ではセキュアな支払いのための、チップ&ピンと呼ばれるイニシアティブの導入が2004年から開始され、2006年には完全実施になった。英国政府のサポートを受けている。

 システムは従来の磁気ストライプに代わって、マイクロチップをクレジットカードやデビットカードに埋め込んだものだ。ユーザはターミナルもしくは読み取り機にカードを通して認証を受けた後、さらに4桁のPIN番号を入力して、カードを持つ本人が使用していることを確認する。

 カードはいわゆるスマートカードで、同様のシステムを導入しているフランスでは、カード詐欺を8割も減らしたと言われている。一方、救世主であるはずのシステムも攻撃に遭い、不正使用の被害を受けてきた。

 犯罪組織の工場では、カードの詳細情報を盗むための機器、不正に取得したチップ&ピンターミナル、カードやアカウント番号、カード読み取り・書き込み機、特別なソフトウェア、偽の磁気付きカードなどが証拠品として押収されている。カードの枚数については数百枚にものぼったという。

 犯人らはPIN番号を入力するデバイスに、データを取得するための細工を行っていた。これらのPIN入力デバイスは、まず盗み出して、ソフトウェアをインストール。その後、店舗にこっそり戻していた。

 そして、消費者がターミナルを利用した際に、不正を働くためのカード詳細情報などを獲得。偽のカードを作成して、海外で、被害者の口座から出金するなどして利用していた。

 個人情報盗難事件では内部関係者の犯行が多いと言われている。今回の事件でも、一部小売店では、スタッフの助けを借りたと見られている。ターゲットにした店舗のスタッフを脅したり、買収していたようだ。その他、その店舗に就職するなどして、入りこんでいたケースもある。被害を受けた店舗は英国全体で約30店とされている。仕掛けられていたのは、スーパーマーケットやガソリンスタンドだ。

 8月の逮捕について、DCPCUのジョン・フォラン主任警部は、「この種の詐欺を行っている犯罪組織との戦いにおいて、大きな進歩となった」と、成果に満足そうだ。チップ&ピンでカード詐欺はなくなるかと期待したものの、専門家もチップ&ピンは完全にセキュアではないと警告していて、対策が求められる中でのことだ。

 チップ&ピン導入後もPINの不正取得、その情報を悪用してのカード詐欺は増加している。2007年の被害総額は2006年の4億2,700万ドルに比べ、5億3,500万ドルというから、約25%の上昇だった。そのうち英国外で偽カードが使用されたケースが増えている。

 海外での偽カード使用による損失は、2006年の1億1,710万ドルから2007年は2億760万ドルに増加しており、国際的な不正による損失ということになる。増加割合についても77%にものぼった。

●増加するターミナル改ざん事件

 APACSのサンドラ・クインは、「以前はターミナルを上から撮影できるようにピンホールカメラを設置して、データを盗むケースが多かったが、現在はチップ&ピンのターミナルになんらかの操作を加えて情報を盗み出している」と状況を説明する。「読み取り機の中からピンを獲得」しているという。APACSでも小売店からターミナルの盗難が警察に届けられているため、ターミナルが攻撃を受けていることを把握している。

 バーミンガムでの犯罪組織捜索に先立ち、英国で小切手とカード犯罪を専門に扱うDCPCUが、8月5日にカード取扱店に勧告を行った。小売店でクレジットカードやデビットカードを使用する機器に犯罪者がデータ獲得するデバイスを組み込んでいるというとして注意を喚起するものだ。

 犯罪者は小売店などの内部関係者の助けで、まずデバイスやターミナルを盗み出し、ユーザが入力するデータを不正に獲得でき…

【執筆:バンクーバー新報 西川桂子】
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec
《ScanNetSecurity》

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

国際 カテゴリの人気記事 MONTHLY ランキング

  1. AWS 設定ミスでウォールストリートジャーナル購読者情報他 220 万件流出(The Register)

    AWS 設定ミスでウォールストリートジャーナル購読者情報他 220 万件流出(The Register)

  2. 総資産 2,303 万 3,975 ドル、逮捕された Alphabay 運営者のずさんなセキュリティ管理 (The Register)

    総資産 2,303 万 3,975 ドル、逮捕された Alphabay 運営者のずさんなセキュリティ管理 (The Register)

  3. Black Hat、DEF CON、BSides 開催でホテルがビジネスセンターを真剣に閉鎖(The Register)

    Black Hat、DEF CON、BSides 開催でホテルがビジネスセンターを真剣に閉鎖(The Register)

  4. 来月ビットコインが消え去るかもしれないが、パニックに陥るべきではない(The Register)

  5. 「Tor 禁止令」を解く Facebook、暗号化の onion アクセスポイントを宣伝~これからは暗号化通信も完全に OK(The Register)

  6. 最大手の広告代理店が NotPetya の攻撃からいまだに立ち直れない原因(The Register)

  7. iCloudからの女優のプライベート画像流出事件、容疑者がフィッシングの罪を大筋で認める

  8. ソフトバンクが 1 億ドル出資し Cybereason の筆頭株主に ~ セキュリティのユニコーン誕生(The Register)

  9. 専門家「隠されたパケットスニファのスパイ技術が、無数の iPhone と iPad に存在している」~「落ち着いて…Apple のバックドアは誰でも入れるほど大きく開いてはいない」重鎮は語る(The Register)

  10. 勤務先の内部情報をダークWebに売る社員、闇のインサイダー取引サービス成長中(The Register)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×