情報セキュリティの選りすぐりの技術と信頼を届けます
SIPSセキュリティレポート 2021年10月28日号
***************************************************************
クレジットカードの不正利用、誰が被害を受けているのか?
***************************************************************
日本は世界3位の経済大国というが、他の世界上位の国々と比較すると、その上昇率は明らかに
違い日本の上昇率は極めて少ない。
国際統計データを提供するグローバルノート社のデータを見ると、2020年の世界の実質GDP成長
率国別ランキングで日本は集計された195か国中110位、マイナス4.59%となっている。
さて、このような要因は様々あると思うが、その一つにサイバー攻撃による被害があると考えられる。
クレジットカードの不正利用が年々増加し、毎年250億円以上の被害額がある事をご存じだろうか。
日本クレジット協会の調査では、この不正利用を「偽造カード利用」「番号盗用利用」「その他不正
利用」に分類して集計を公表しているが、圧倒的に多い被害は「番号盗用利用」である。
2019年には222.9億円、2020年には223.6億円もの番号盗用被害額が発生し、今年に入り
1月から6月までの半年の番号盗用被害額は146.8億円発生していて、毎年7月から12月の被害
額が多いことからすると、今年は、その被害額が300億円を超える可能性が高い。
不正利用である訳だから、カード名義本人が使ったのではなく第三者がなりすまして利用したという
事になる。
今までは、百貨店などでのショッピングや飲食店での支払い、ゴルフ場での精算など現地でクレジット
カードを使った支払いをする場合にカードそのものを提示し支払いを済ませる。
しかし最近ではネットショッピングやチケット、ゴルフ場、宿泊などの予約と支払いを、ネット上で決済を
完了してしまうという方法が多くとられている。
この時に必要な情報は「カード名義」「クレジットカード番号」「セキュリティコード(CVV)」になる。
ネット上でクレジット決済をする場合、この3つの項目が合致すれば決済が完了してしまうのである。
当然これらの情報が流出しているので、不正利用されるわけだが、そのほとんどは海外からの不正
利用が多い。
では、年間250億円以上の不正利用されたお金はどうなっているのだろうか?
例えば海外から不正利用で商品を購入した場合、実際の商品は最終的には不正に購入した人
に届く事になるが、不正利用されたカード名義の本人はお金を支払う必要があるのだろうか?
クレジットカードを発行している会社のホームページを見ると、各社表現は違うが、「クレジットカード
が、本人ではない第3者によって不正に利用された場合、補償が適用される」とある。
つまり、カード名義本人は直接金銭的な被害を受けない【チャージバック】と呼ばれるものである。
チャージバックとは、一定の条件下でクレジットカードの名義人がカード発行会社に対して請求額の
取り消しを求める事ができる仕組みである。しかしこれにも申請期間などの条件があり、「カード名義
人の承認した取り引き」であると判断された場合はカード名義人が支払う事になる。
ではカード名義人が不正利用に関する異議申し立てを行い、チャージバックが成立すると、その売上
金額はクレジットカード発行会社が補填するのか?状況によって異なるだろうがこれもなさそうである。
このような場合、クレジットカード決済が完了したショップや会社などに対して、クレジットカード会社
から決済に対して入金された売上金額の返却が求められる事が多い。
ネットショップなどクレジットカード決済を実施している会社はなど、チャージバックの仕組みを理解し
保険に入るなどの対策を取らなければ、商品は無くなり、売上金ももらえないという事態が発生して
しまう事になる。
つまりサイバー犯罪者にクレジットカードを不正利用された商品の代金は、カード名義人または
ネットショップ等の企業側が負担することになる。
詳細な比率は不明だが、そのほとんどは企業側が負担する事になっているのだろう。
本来、海外からの購入であれば、日本に対しては外貨が入り、日本は経済的に裕福になるという
構造になるはずが、そうならず経済的には損失が多くなっているのである。
さて、問題はこのクレジットカードの不正利用だが、そもそもカード情報が何故流出しているのか?
情報流出には、盗難、紛失、スキミングなどによる原因が起因する場合と、サイバー攻撃が起因する
ハッキングやフィッシングが考えられる。
この中で圧倒的に多いのはサイバー攻撃が起因するものであり、特にフィッシングに関しては、現在
サイバー攻撃の中でも圧倒的に多い割合が存在する。
サイバー闇市場の中国ブラックマーケットや海外のブラックマーケット、ダークウェブ等で売買されている
クレジットカード情報の多くはフィッシングによる流出によって得た情報である可能性が高い。
中国ブラックマーケットでは、有名企業や銀行、大手ショッピングサイト、クレジットカード会社に酷似
した偽サイトを簡単に作るツールまで販売されている。
フィッシングで情報を抜き取る成功率は3~5%と言われ、サイバー攻撃者は毎日任意の不特定多
数にメールを送るだけで情報が勝手に入ってくるという事である。
そして、この任意に送るメールアドレスも流出したメールアドレスを利用しているのである。
ネットニュースなどで「メールアカウントが不正アクセスを受け迷惑メール送信」といった内容を目にする
事が多いが、これはサイバー攻撃者がメールアカウントを乗っ取り、そのメールから意味なく迷惑メール
を送信しているのではなく、迷惑メールを送信してエラーが出ないアドレスを確認しているのである。
つまり有効なメールアドレスを確認してリスト化し、そのメールアドレスを使ってフィッシング攻撃を行う
のである。
ハッキングも含めた様々な情報流出が全て利用され、フィッシングによりカード情報が流出し、不正
利用されて日本の経済を圧迫する。
個人一人一人がこのフィッシングに対して注意する事が必要である事は間違いないが、偽サイトを
作られている企業側も、いち早く情報を入手し対策を取る必要があると思う。
フィッシングで被害を受ける事が多いサイトや利用されるクレジットカードの信頼性も落ちることになる。
それ以前に日本のインターネット環境のセキュリティ事情を強化し情報流出に対する指針を作り、対
策を取らなければ、いくら日本のGDPが高くても実質GDPの成長率は上がらず、日本の経済状況は
良くなるどころか、更に酷い状況に陥ってしまうことになる。
---------------------------------------------------------------------------------
<参考URL>
NHK
NEWS WEB サイカルジャーナル:2021/10/22
クレジットカード不正決済 個人情報悪用の実態を追う
https://www3.nhk.or.jp/news/special/sci_cul/2021/10/special/story_1022/
群馬大学:2021/10/20
不正アクセスによる迷惑メール送信のお詫びについて
https://www.gunma-u.ac.jp/information/110586
一般社団法人日本クレジット協会:2021/9/30
クレジットカード不正利用被害の集計結果について
https://www.j-credit.or.jp/download/news20210930a1.pdf
GLOBAL NOTE:2021/10/13
世界の実質GDP成長率
国別ランキング・推移(IMF)
https://www.globalnote.jp/post-12798.html
Copyright (C) 2014 SouthPlume Co.,Ltd. All Rights Reserved