クレジットカード情報の有効性を調べるサービスも
今月のトピックとして紹介されたのは、クレジットカード情報をオンライン販売しているサイトから盗まれたクレジットカード情報の救出したという話だ。
このクレジットカードストアは、2007年11月からおよそ21万7000件近いクレジットカードの販売や照会が行なわれており、約4万枚の未使用カード情報が残っていたという。こうしたクレジットカード情報の販売は、従来売り手と買い手が直接コンタクトを行なってやりとりされていたが、このようにオンラインショップを使えば、24時間取引でき、売り手と買い手が直接コンタクトしないので、身元も割れにくいという特徴がある。
レポートについて解説するRSAセキュリティ マーケティング統括本部 部長の宮園充氏
また、サイトではクレジットカードが有効かどうかを調べるサービスも提供していた。手法としては、小売のサイトの請求機能を悪用したり、不正に入手した小売店の口座を使って、支払所利害者に承認を申請したり。はたまたきわめて小額の決済を実際に試してみることで、果たして本当に使えるのかを調べてくれる。闇経済もサービス拡充や自動化がここまで進んでいるのかと驚くべき実態だ。
RSA AFCCはこのサイトのバックエンドで動いている管理アプリケーションが変更されたことをきっかけに、クレジットカード情報のデータベース全体を回収し、販売されていないカードの情報を得ることができた。もちろん、これらはRSA AFCCの顧客に通知され、未然に不正使用されることは防がれたという。
銀行への採用相次ぐ「FraudAction」
こうしたオンライン犯罪に対し、RSAセキュリティはさまざまなサービスを提供している。他のフィッシング対策が、サイトの真偽判定やアクセス制御をメインにしているのに対し、RSAセキュリティの「RSA FraudAction」では、フィッシングサイト自体の閉鎖を根本に据えている。
RSA FraudActionを実現するためのフィッシングサイトの発見やおとり捜査、ISPへの調査依頼などのオペレーションは、今回のレポートの情報提供元であるRSA AFCCで行なっている。RSA AFCCはイスラエルを本拠地に、24時間365日のオペレーションを実施しており、言語や時差の違いを乗り越え、「だいたい5時間以内でフィッシングサイトをシャットダウンし、これまで12万5000サイトを閉鎖に追い込んできました」(宮園氏)という実績を誇る。全世界で320社以上の採用実績があり、日本も4月発表だけでも、尼崎信用金庫、千葉興業銀行、あおぞら銀行などがRSA FraudActionの採用を決めている。
RSAセキュリティ「マンスリー・オンライン不正状況レポート」 (4/20現在は2009/1版まで提供されている)
この連載の記事
- 第14回 情報セキュリティのプロが語る「PCI DSS、はじめの一歩」
- 第13回 管理者に優しいペンタのWAF「WAPPLES」を支える技術
- 第12回 RSAらしさ満載のPCI DSS導入支援サービス
- 第11回 情報元を抑えよ!DBセキュリティを先導する「FortiDB」
- 第10回 セミナーでわかったバラクーダとアップルの意外な共通点
- 第9回 今度のインパーバは金庫番+パトロールでDBを守る
- 第8回 脆弱性監査も試用可能!フォーティネット、FortiDBを強化
- 第7回 高価なWAFはもういらない!SaaS型WAF「Scutum」の魅力
- 第6回 キヤノンIT、偽装ファイルの検出強化のWEBGUARDIAN
- 第5回 白黒はっきりつけたいWAFの最新事情
- 第4回 雲の中にWAFを設置するアカマイの新サービス
- この連載の一覧へ
