RSAセキュリティの最新レポートが生々しく語る

盗難されたクレジットカード情報を救え！

2009年04月20日 04時00分更新

文● 大谷イビサ／TECH.ASCII.jp

クレジットカード情報の有効性を調べるサービスも

　今月のトピックとして紹介されたのは、クレジットカード情報をオンライン販売しているサイトから盗まれたクレジットカード情報の救出したという話だ。

　このクレジットカードストアは、2007年11月からおよそ21万7000件近いクレジットカードの販売や照会が行なわれており、約4万枚の未使用カード情報が残っていたという。こうしたクレジットカード情報の販売は、従来売り手と買い手が直接コンタクトを行なってやりとりされていたが、このようにオンラインショップを使えば、24時間取引でき、売り手と買い手が直接コンタクトしないので、身元も割れにくいという特徴がある。

レポートについて解説するRSAセキュリティマーケティング統括本部部長の宮園充氏

　また、サイトではクレジットカードが有効かどうかを調べるサービスも提供していた。手法としては、小売のサイトの請求機能を悪用したり、不正に入手した小売店の口座を使って、支払所利害者に承認を申請したり。はたまたきわめて小額の決済を実際に試してみることで、果たして本当に使えるのかを調べてくれる。闇経済もサービス拡充や自動化がここまで進んでいるのかと驚くべき実態だ。

　RSA AFCCはこのサイトのバックエンドで動いている管理アプリケーションが変更されたことをきっかけに、クレジットカード情報のデータベース全体を回収し、販売されていないカードの情報を得ることができた。もちろん、これらはRSA AFCCの顧客に通知され、未然に不正使用されることは防がれたという。

銀行への採用相次ぐ「FraudAction」

　こうしたオンライン犯罪に対し、RSAセキュリティはさまざまなサービスを提供している。他のフィッシング対策が、サイトの真偽判定やアクセス制御をメインにしているのに対し、RSAセキュリティの「RSA FraudAction」では、フィッシングサイト自体の閉鎖を根本に据えている。

　RSA FraudActionを実現するためのフィッシングサイトの発見やおとり捜査、ISPへの調査依頼などのオペレーションは、今回のレポートの情報提供元であるRSA AFCCで行なっている。RSA AFCCはイスラエルを本拠地に、24時間365日のオペレーションを実施しており、言語や時差の違いを乗り越え、「だいたい5時間以内でフィッシングサイトをシャットダウンし、これまで12万5000サイトを閉鎖に追い込んできました」（宮園氏）という実績を誇る。全世界で320社以上の採用実績があり、日本も4月発表だけでも、尼崎信用金庫、千葉興業銀行、あおぞら銀行などがRSA FraudActionの採用を決めている。