クレジットカード詐欺の手口は年々巧妙化の一途を辿っています。
クレジットマスターアタックやフィッシング詐欺など、高度な手法が次々と登場しています。
ユーザー自身による防御策は限界を迎えており、こうした詐欺からユーザーを守るためには、事業者側の対策強化が不可欠です。
本記事では、最新の詐欺の手口を解説し、事業者が取るべき具体的な対策について詳しくご紹介します。
1.クレジットカード詐欺の被害額は年々増加
一般社団法人日本クレジット協会の調査によると、2023年のクレジットカード不正利用被害額は540.9億円に達しました。
2014年と比較すると約5倍にまで被害額が膨れ上がっており、クレジットカード詐欺の深刻さが一層明らかになっています。
増加の要因の一つとして挙げられるのが、番号盗用による被害です。
番号盗用とは、クレジットカード番号や暗証番号が不正に取得され、その情報を基に不正利用される手口です。
2023年における番号盗用被害は、2014年と比較して約7.6倍にも増えており、特にオンライン取引において深刻な問題となっています。
利用者への注意喚起がなされたり、事業者による対策が強化されたりしていますが、被害の拡大を食い止めるためには、さらなる取り組みが必要とされています。
2.現在の主流は「クレジットマスターアタック」「フィッシング」
クレジットカード詐欺の手口は年々巧妙化し、特に「クレジットマスターアタック」と「フィッシング」が現在の主流です。
カード情報を狙った高度な技術が駆使されるようになっており、利用者の不注意や技術的な隙を突いてきます。
本セクションでは、これら二つの詐欺手法の具体的な仕組みを解説していきます。
クレマスの仕組み
クレジットマスターアタック(クレマス)は、従来のクレジットカード詐欺とは異なり、カード保有者が自らの番号をどこにも提供していなくても不正利用される可能性があるという点で、非常に厄介です。
通常、クレジットカード詐欺は、攻撃者がカード番号やセキュリティコードを盗み取り、その情報を不正に利用する形を取ります。
しかし、クレマスでは、攻撃者がクレジットカード番号の生成アルゴリズムを逆算し、その仕組みを利用して無作為に大量の番号を生成することにより、不正利用を試みます。
攻撃者は生成した番号をオンラインショッピングサイトなどで試し、その中から有効な番号を見つけ出します。
つまり、攻撃者が無作為に生成した番号が偶然にも実際のカード番号と一致すれば、いくら情報漏洩の対策をしていても、カード保有者は自身が知らないうちに不正利用の被害に遭うことになるのです。
クレマスは単に情報漏洩の問題に留まらず、全く新しい形態のリスクをもたらしていると言えます。
フィッシングの仕組み
フィッシングは、クレジットカード詐欺の中でも広く行われている手口です。
攻撃者はまず、公式な機関やサービスを装ったメールやSMSを送信し、ユーザーに緊急性を感じさせるメッセージを送りつけます。「あなたのアカウントに不正なアクセスがありました」や「カードの有効期限が切れています」などの内容で、ユーザーに不安を煽り、即座に対応するよう促します。
メッセージには、公式サイトに見せかけたリンクが含まれており、ユーザーがそのリンクをクリックすると、偽のログインページやフォームに誘導される仕組みです。
偽ページは、本物のウェブサイトとほとんど区別がつかないほど巧妙に作られているため、多くのユーザーが疑うことなく、自分のクレジットカード情報やパスワードを入力してしまいます。
攻撃者は、こうして取得した情報を利用して不正にカードを使用したり、さらなる詐欺行為を行ったりします。
フィッシングの問題は、その巧妙さゆえに、ユーザー側が気づかずに情報を提供してしまうケースが多いという点です。
3.新しい手法が次々と登場
詐欺の手口は日々進化しており、クレマスやフィッシングに続いて「なりすまし型バナー広告」など新たな手法が次々と登場しています。
従来の対策や利用者の注意だけでは防ぎきれないほど巧妙であり、今やユーザー側だけの意識改革では限界があると言えるでしょう。
なりすまし型バナー広告の仕組み
「なりすましバナー広告」は、通常のバナー広告とは異なり、サイトの一部に見せかけてユーザーを巧みに誘導する手口です。
ユーザーが訪れたWebサイトやスマートフォンアプリに表示されるこの広告は、商品名やサービス名が一切表示されず、代わりに「スタート」「続行」「ダウンロード」といったシンプルなボタンが大きく表示されているため、広告であることに気づきにくい仕組みになっています。
ユーザーは広告をクリックしている意識がなく、サイトの通常の操作の一環としてボタンを押してしまうことが多いのです。
クリックすると、ユーザーはメールアドレスでのアカウント作成を促され、さらに進むとクレジットカードの情報を入力するよう指示されます。
カード情報を登録してしまうと、利用規約の中に「5日間の無料期間を過ぎると課金される」などという条件が英語で書かれており、ユーザーが後になってそれを発見する頃には、課金が開始されているケースが多いのです。
このように「なりすましバナー広告」は、ユーザーが気づかないうちにカード情報を提供させ、巧妙に課金される仕組みになっていますが、法律的には詐欺と断定しにくいグレーな手法であるため、対処が難しいのが現状です。
ユーザーに対策を求めることは不可能な時代に
これまで紹介してきた通り、近年のクレジットカード詐欺は、カード情報の流出がなくとも悪用されたり、明らかに詐欺とは言えないようなグレーゾーン的なものであったりと、手口がますます巧妙化しています。
また、AIを活用することで、さらなる進化を遂げる可能性が出てきています。
ユーザーがどれほど注意深くても、そもそも防ぎようがなかったり、詐欺に引っかかる可能性が高いのが現実です。
ユーザー側だけに責任を負わせ、対策を求めるのは無理がある時代に突入しているのです。
詐欺被害を防ぐためには、事業者側がセキュリティ対策を強化し、利用者を保護する仕組みを積極的に導入することが不可欠です。
事業者にとっても、万が一インシデントが発生すると、ブランド価値が毀損されかねません。
4.Infront Securityによる解決策
ユーザー側の注意力に依存しない仕組みとしては、パスワードレス認証や、サイト利用時の本人確認を厳格化する方法があります。
Infront Securityのパスワードレス認証を導入すれば、クレマス攻撃の抑止や、フィッシングの防止が可能です。
電話+端末認証の仕組み
>電話番号認証は初期登録時等のみで、通常のログインはID認証+端末認証
Infront Securityは特許技術=>独自技術に基づき、顧客データベース(DB)に登録されている電話番号と利用者から発信された電話番号を認証サーバで照合し、端末認証を行います。
併せて接続している端末の端末情報を取得し端末DBに情報を登録します。
これによりID入力のみ(パスワード入力も可能)で利用者の端末情報の認証を組み合わせることで、ワンタイムパスワード等の入力を不要とし、簡単かつセキュアなログイン方法を提供しています。
既存のIDとパスワードに加えて、上記の端末情報を使用する二要素認証となっています。
IDとパスワードが漏洩しても、登録済みの利用者端末以外からのログインは不可能です。
高い本人担保性
Infront Securityが認証に用いる電話番号・端末に必要な音声通話契約では、公的証明書を用いた本人確認が必要とされます。
公的証明書には、運転免許証、パスポート、マイナンバーカードなどが含まれ、これらを提示することで契約者の身元が確実に確認されます。
例えば、万が一クレマスによってカード情報が漏洩したとしても、Infront Securityによる認証を導入しているサイトでは、カードの持ち主本人の電話番号・端末による認証が必要となり、カードの不正利用はできない仕組みです。
