Information
Warning NEWS

　　　　　　　　　　
クレジットカード情報の流出によるサイバー脅威

クレジットカード情報を悪用するサイバー攻撃/サイバー犯罪を分析

どうやって情報が流出しているのか？どのような手口なのか？
ブラックマーケットにはその手口に関する情報が山積していた・・・。

ここに記載する情報は過去にハッキンググループのメンバーで共有・売買され、サイバー攻撃に利用していた脅威情報です。
最新情報とは異なる過去の情報も含まれますので、参考にしていただき現在の最新情報を入手してサイバーセキュリティ対策の実施をお奨めします。

社会のデジタル化に伴い、様々なサービスの利便性が高くなっています。
物品の購入にはキャッシュレス決済が推奨され、現金がなくても買い物ができる社会になってきました。
その代表の一つがクレジットカードで、実際の買い物ではもちろん、インターネットでの買い物もクレジットカード情報があれば決済が
可能になりました。

しかしこのクレジットカード情報が流出し、カード番号を盗用することで、本人になりすまし、不正なネット決済が行われるなどの被害が年々増加しています。
現在日本のクレジットカード不正利用による被害額は年間億円を超えていてクレジットカード名義本人のみならず、インターネットで
決済サービスをしている企業や団体にも大きな損出を発生させています。

クレジットカードの不正利用には大きく以下の２通りが存在します。
１．流出したクレジットカード番号の盗用による不正利用
２．身分偽装による不正な新規カード作成による不正利用

１．流出したクレジットカード番号の盗用による不正利用
　　　　～ クレジットカード情報の流出はどうやって発生するのか？ ～

(1) フィッシングによる情報流出
　　　フィッシングメールやショートメッセージなどを送り、巧みに偽サイトに
　　　誘導してカード情報をユーザに入力させます。
　　　入力したカード情報は攻撃者の指定する任意の場所に情報が
　　　送信されます。

　　　フィッシングメールは、任意のアドレスに無差別に送付する手法と
　　　特定のターゲットに送信する標的型の手法に分かれますが、
　　　どちらもメール内にあるURLもしくはサイト接続リンク用のボタン
　　　にアクセスさせて偽サイトに誘導し、カード情報を入力させます。
　　　「異常の検知」「セキュリティ上の確認」「アップデート」などの
　　　内容であれば、疑わず情報を入力してしまうことになり、入力した
　　　情報は入力した時点で、抜き取られることになります。


(2) マルウェアによる情報流出
　　　情報窃取型マルウェアは、個の機器に感染して感染した機器内
　　　にあるログイン情報や金融情報を窃取します。
　　　クレジットカード情報も該当するため、感染した機器内にカード
　　　情報が存在すると流出することになります。
　　　※マルウェアの種類により窃取する情報は変わります。

　　　当該マルウェアは、感染してもメモリやレジストリに隠蔽潜伏し
　　　機器の動作に大きな影響を与えないため、セキュリティ検知も
　　　回避されることが多く、機器の所有者はマルウェア感染に気付
　　　かないことがほとんどで、被害を拡大させる結果になります。


(3) ハッキングによる情報流出
　　　主にシステムの脆弱性を利用して不正侵入します。
　　　侵入後、カード情報の存在するWebサイトやサーバ内のDB
　　　から情報窃取します。

　　　その他に、通信のセッションを乗っ取り、セッション情報からカード
　　　情報を窃取するセッションハイジャック攻撃や、流出しているアカ
　　　ウント(既知のユーザ名/パスワード)を利用して標的のシステムや
　　　アプリ、サービスに大規模な自動ログイン要求を実行して該当するユーザアカウントで
　　　不正侵入を試みるクレデンシャルスタッフィング攻撃などが多用されています。

２．身分偽装による不正な新規カード作成による不正利用
　　　　～ どうやって身分偽装を行っているのか？ ～

(4) 流出している個人情報を利用してなりすましによる新規作成
　　　クレジットカードは任意の個人が正規の発行手順を踏むことで
　　　新規発行が可能です。
　　　しかし個人情報はサイバー闇市場では多数売買されています。
　　　免許証などの身分証明書類の顔写真や住所を加工修正する
　　　ことでなりすましの身分証が出来上がり、銀行口座情報や個人
　　　情報を利用すれば正規手順でクレジットカードの新規作成申請
　　　する事ができます。
　　　カード発行会社は、正規の手続きによる申請であるため、不正な
　　　カード発行であることが判断できません。
　　　このカードは利用限度額まで使用されて、代金の請求はカードの
　　　名義本人の口座に請求されます。

　　　このように、サイバー空間では別の自分が存在してショッピングするという事態が起きています。

３．ブラックマーケット 闇チャネルで売買される脅威情報

(5) クレジットカード情報の売買

　　　中国ブラックマーケットで売買されているクレジットカード情報
　　　任意の一日にクレジットカード情報が売買されている数をカウント
　　　してみると、一日で販売している日本のクレジットカード情報の
　　　販売件数は数千件存在していました。
　　　※フルナンバー(14～16桁)の掲示で400件以上、上位6桁のBIN番号
　　　　　のみの掲示が600件以上存在していました。（右図）

　　　更に詳細を確認するとパスワードやセキュリティコード(CVV)を
　　　含む詳細情報が含まれていることが分かりました。

(6) 個人情報の売買

　　　中国ブラックマーケットでは、個人を特定する情報として証明書の
　　　画像データが無数に存在します。
　　　一方でリスト形式になっている情報もあり、これらの情報は画像
　　　修正プログラムを使った偽造証明書の作成方法とともに販売され
　　　ています。

　　　これらの証明書の内容を画像修正ソフトで変更することで、ネット
　　　上で利用することができる偽造証明書が出来上がり、ネット上で
　　　完結する申請手順の場合、不正を見抜くことは困難です。

　　　このような証明書は、公的機関、企業、ECサイト、SNSなど
　　　様々なところから流出していて、販売を促す闇チャネルの投稿は
　　　後を絶ちません。
　　　過去には数百万件～数千万件の販売するという投稿が多数
　　　存在しました。
　　　インターネット上で画像を利用して本人確認・本人証明を実施
　　　するサービスが存在する限り流出を減らすことは困難です。

　　　クレジットカードの新規発行申請に限らず、偽造証明書は様々な場所で使用されていて、
　　　日本国内に不法に滞在する人間も多数存在することになります。

　　　 ブラックマーケットに流出している証明書の種類
　　　・免許証　・パスポート　・健康保険証　・マイナンバー　・学生証　・在留カード　・事業者登録証　など


(7) 銀行口座情報の売買

　　　銀行口座に関する情報売買の投稿も無数に存在しています。
　　　右図(上)のように銀行の通帳や銀行カードの画像情報が
　　　掲示されているケースやリスト形式でサンプル表示している
　　　場合が存在し、真実味を増すかのように投稿されています。
　　　※右図は一例で様々な銀行の画像が存在しています


　　　右図(下)のようにリスト化された情報は多数存在していて
　　　名前、住所、電話番号、銀行名、口座種別、口座番号、
　　　パスワード、などが記載されています。
　　　ネットバンキングの場合は、更にログインID/パスワードが記載
　　　されています。

　　　銀行は、都市銀行、地方銀行、ゆうちょ、信用金庫、JAバンク、
　　　インターネットバンキングなどほとんどの銀行が存在しています。

　　　このような銀行口座情報が個人情報と紐づくことで、第三者が
　　　作り出す仮想空間におけるひとりの人格(個人証明と銀行口座
　　　を保有する人間)が存在することになります。

　　　この仮想空間の実在しない人格は、紐づけられた個人情報と銀行口座を使い、
　　　更にクレジットカード情報を不正利用してサイバー犯罪を繰り返すことになります。


(8) クレジットカード不正利用により得た報酬
　　　サイバー犯罪者は、組織化されていて自らを闇ビジネス事業者と名乗り、各種情報を入手後にクレジットカードを不正利用して不正購入した
　　　物品を販売して金銭にします。

　　　不正購入する商品はiPhoneのように人気のある高額商品や誰もが気軽に買えるタバコや家電などが選ばれます。

　　　▼クレジットカード不正利用で購入する商品類
　　　　● 日本のタバコ
　　　　● iPhone
　　　　● Nintendo Switch
　　　　● 各種商品券　　　　　・・・etc

　　　▼現金化の仕組み
　　　実際の購入者(実行犯)は、闇バイトで募集された後にネット
　　　ショッピングでこれらの商品を購入します。
　　　この時に商品を送る場所は予め準備した別の住所で、この
　　　送り先住所を提供する人間を「受け子」と呼びます。
　　　しかし、物品は闇事業者が手配した闇配送会社が回収して
　　　別の場所に移動させて配送ロンダリングを行い、商品の流通
　　　経路を不明にします。

　　　不正購入された商品は、闇事業者が別サイトで販売して現金に変えます。
　　　右上の図は、不正購入した商品(iphne)や金銭にした現金を闇チャネルで公開して、
　　　儲かるビジネスであるかのように表現し流出情報の購入意欲を掻き立てている画像です。

　　　【実際の作業状況】
　　　闇事業者は、個別のカードやスマートフォンで実施せず、クレジット決済ができる複数の
　　　スマートフォンを並べて作業します。
　　　右の写真は、実際に複数台を並べて作業している様子を撮ったものです。


４．二次被害の脅威

　　　個人・企業：
　　　二次被害に遭うと不正購入された商品の代金が請求されます。
　　　※チャージバック制度により申請すれば個人は被害額を補償してもらえる事もありますが、カード会社により申請期間が異なるので注意が必要です。
　　　申請期間を超えると代金の負担はカード名義本人が負担する必要があります。

　　　オンラインショップ・企業：
　　　二次被害により名義人からチャージバック申請されると代金の返却を求められます。
　　　一旦販売して入金された場合でも、名義人がチャージバックすると代金をクレジットカード会社に返却する必要があります。
　　　この場合、商品は戻らず、売上代金も入らないという事態が発生してしまうことになります。

　　　カード発行会社
　　　不正が発覚した場合、正規の業務とは別に補償に対する業務が発生します。
　　　場合によっては、補償分を負担することもあります。
　　　また、不正利用が表面化することで風評被害などにより契約者及び利用者の減少など、間接的な被害を受ける可能性があります。

５．対策

　　　個人・企業のカード名義人：フィッシングメールを見極めろ！
　　　フィッシング攻撃のメール・SNSに反応せず、万一偽サイトなどに誘導されてもカード情報を含む個人情報を入力しないように注意する。

　　　■メールの振り分け機能を利用してフィッシングメールを振り分ける
　　　　危険な国別ドメインを利用した振り分けを設定する。
　　　　※振り分け設定はご利用のメールソフト毎にご確認ください。

　　　 日本に攻撃が多い国を中心に設定すると有効です。(国別ドメインのフィルタリング)
　　　　.cn　　中国　　
　　　　.ru　　ロシア　　　
　　　　.su　　旧ソ連　　　　　
　　　　.vn　　ベトナム　
　　　　※上記該当国とのビジネスや交友などがある方は注意してください。

　　　■自分が利用していないサービスをフィルタリング設定する
　　　　利用していないサービスからメールが届くことはありません。
　　　　利用していないサービスはフィッシングメールの可能性がありますので事前にフィルタリング設定しましょう。

　　　サービス提供企業・ショッピングサイト：不正なクレジット決済を検知する
　　　～クレジットカード決済を実施するWebサイトの情報流出を防ぐ～
　　　　Webサイトなどから顧客のクレジット情報が流出すると必ず2次被害が発生します。
　　　　情報流出が発覚するとビジネスにも大きな影響が出る可能性があるため十分な対策が必要です。

　　　～脆弱性の確認と最新状態にアップデート～
　　　　情報流出を防ぐためには、クレジットカード決済を行うサーバの脆弱性を確認の上最新の状態を維持する事が重要です。
　　　　サーバ内で動作している全てのプログラムを精査し最新状態を維持する対応が必要です。

　　　各種セキュリティソリューションの利用
　　　不正アクセスを検知するセキュリティソリューションは様々存在します。自社システムに適合するセキュリティ
　　　ソリューションを利用して不正アクセス対策を実施する事は有効です。
　　　※サイバー攻撃者はセキュリティソリューションの検知を回避するプログラムを利用して攻撃してきます。
　　　　セキュリティソリューションに依存することなく運用する事が重要になります。

　　　不正なクレジットカード決済を見極めろ。
　　　Webサイトなどでクレジットカード決済を行っている場合、不正利用されるとチャージバック制度により商品は発送したのに売上金が入らない
　　　という事態が発生してしまいます。不正利用をされ続けると事業継続が危ぶまれます。

　　　ECサイト事業者におけるクレジットカード決済不正利用の脅威に対応するサービスソリューションを提供する会社もありますので、
　　　これらを利用することで不正決済を最小化する事が可能です。

　　　クレジットカード不正利用検知サービスを提供する企業様には、弊社SIPSサービスで"流出しているカード情報"を
　　　提供することも可能です。
　　　リアルな流出情報を提供可能なSIPSサービスの利用もご検討ください。