セキュリティ最新ニュース SECURITY NEWS

  • このエントリーをはてなブックマークに追加

Security

クレジットカード情報はどうやって盗まれるのか

先日、スマホ決済サービス「PayPay」を経由したクレジットカードの不正利用問題がニュースになりました。

クレジットカードの情報が盗まれると、こうした不正利用に繋がります。犯罪者はユーザーからクレジットカード情報をどのように盗み取るのでしょうか。今回はPayPayにおける不正利用の原因と、クレジットカードの情報漏洩対策、更に不正利用への対処法についてご紹介します。

PayPayのクレジットカード不正利用問題はなぜ起きたのか

12月4日に始まり話題となった「PayPay」の総額100億円を還元するキャンペーン。このキャンペーン期間中にクレジットカード不正利用の被害報告が相次ぎました。なぜここまで被害は拡大したのでしょうか。それは、犯罪者にとって都合のいい条件がこのキャンペーンにそろっていたからです。

  1. セキュリティコードを何度も試すことができた
  2. PayPayのクレジットカード登録に必要な情報は、カード番号、有効期限、セキュリティコードのみ。カード名義やID、パスワードの入力を必要としていませんでした。しかも、PayPayアプリではセキュリティコードの入力を繰り返し間違えてもロックはかからず、総当たりでセキュリティコードを試すことができたのです。

  3. サービス利用額に制限が無かった
  4. 当初、PayPayの利用額には制限がなく、クレジットカードの限度額までの決済が可能でした。
    そのため高額決済の被害が相次いだのです。キャンペーンが大きく話題になり、換金性の高い買い物をしても怪しまれない状況だったことも、犯罪者にとって好都合だったと考えられます。

    ※現在は5万円に定められている

  5. 実店舗で購入できた
  6. ECサイトなどでクレジットカードを不正利用すると、実際に商品を受け取るまでに時間が掛かる上、商品を受け取るために住所などの情報も必要となります。その分事態が発覚しやすいと言えますが、店頭購入ならばそれがありません。また、本来は本人確認を行うはずの状況でも買い物ができたという報告も上がっており、不正利用を防ぐためのオペレーションが徹底されていなかった可能性があります。

このように、PayPayにはシステム上多くの問題がありました。しかし、ここで注意しなければならないのは、クレジットカード情報はPayPayから流出したのではなく、過去に漏洩していた情報がこのタイミングで悪用されたということです。PayPayの利用の有無にかかわらず、クレジットカードを持っている人は全員が被害者になる可能性があるのです。

クレジットカード情報漏洩の原因とその対策

それでは、クレジットカード情報はどのようにして漏洩するのでしょうか。原因と対策方法について見ていきましょう。

  1. バンキングマルウェアへの感染
  2. バンキングマルウェアには、ネットバンキングの不正送金だけでなく、クレジットカード情報を窃取する機能が備わったものも存在します。ユーザーがネットバンキングやクレジットカード会社のログインページにアクセスしたことを検知すると、偽の認証画面を表示し、暗証番号やパスワード、クレジットカード情報の入力を促して、情報を不正に入手します。

    対策としては、アンチウィルスソフトを利用し、そのパターンファイルを常に最新の状態を保っておくことです。また、感染経路となる金融機関からの怪しい誘導メールや、いつもと違うログイン画面やポップアップには注意しましょう。

  3. フィッシング詐欺
  4. 実在する企業を装ったメールを送りつけ、受信者にメール内のURLリンクを開かせることで偽サイトへ誘導する手口にも要注意です。誘導先のサイトでクレジットカード情報などを入力してしまうと、犯罪者に盗み取られてしまいます。

    フィッシング詐欺の手口とその対策については、こちらの記事をご覧ください。

  5. 企業からの情報漏洩
  6. クレジットカード情報を登録している企業やサービスで情報漏洩事故が発生するケースも考えられます。企業の情報漏洩の原因とその対策については、こちらの記事をご覧ください。

    企業から情報が漏洩した場合、自分の情報が流出したユーザーはクレジットカードのほかにも気をつけるべき点があります。もしその企業で利用していたパスワードを使いまわしていた場合、他のサービス等においても不正アクセスの被害を受けるかもしれません。仮に最初の情報漏洩でクレジットカード情報が流出しなくても、他のサービスから情報を窃取される可能性があります。このことから、パスワードの使いまわしは避けることをお勧めします。

不正利用が疑われたときの対処法

  • 不審な取引を見つけたら直ちに連絡する
  • クレジットカードの利用明細を見て、不正利用がないことを確認する習慣をつけましょう。万が一、身に覚えのない取引を確認した場合には、直ちにクレジットカード会社に連絡してください。クレジットカード会社への届出を行わなかった場合、不正利用被害に遭っても補償を受けられなくなる可能性があります。

  • ウイルスを駆除する
  • クレジットカードの利用明細やネットバンキングの取引履歴に不審な点があった場合、ネットバンキングを狙うウイルスに感染している可能性があります。アンチウイルスソフトのパターンファイルが最新の状態になっていることを確認した上でウイルス検索を行い、ウイルスが見つかった場合には駆除しましょう。

  • クレジットカード会社に携帯電話番号を登録しておく
  • 通常、クレジットカード会社はカードの利用状況を常に監視しており、不審なカード利用を検知した時には登録している電話番号へ連絡してくれるようになっています。この連絡先に携帯電話を登録しておけば、不正利用が発覚した時に迅速な対処ができるかもしれません。

最後に

クレジットカードの情報漏洩対策と不正利用への対処法についてご紹介しました。クレジットカード情報が流出した場合、今回の事例のようにサービスやキャンペーンに乗じて不正利用され、大きな被害を受ける可能性があります。そのような被害を受けないためにも、日頃から私たち自身も情報漏洩や不正利用の対策を心がけておく必要があります。

マルウェアやフィッシング対策にはUTMやエンドポイントセキュリティが有効です。また、SandBlast Mobileにはアンチフィッシング機能が備わっています。

img_cp700_01 img_cp5000 img_sbm F-Secure

参考(外部リンク)

PayPayの「クレジットカード不正利用」はなぜ起きたのか? | ITmedia

記事一覧に戻る