キヤノンMJ/サイバーセキュリティ情報局

サイバー犯罪者がクレカ情報を盗む5つの手口とは

  • この記事をはてなブックマークに追加
  • 本文印刷

本記事はキヤノンマーケティングジャパンが提供する「サイバーセキュリティ情報局」に掲載された「サイバー犯罪者がクレジットカード情報を詐取する5つの方法」を再編集したものです。

 攻撃者がクレジットカード情報を詐取しようとする一般的な方法と、それらから身を守る方法について解説する。

 この記事は、ESET社が運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。

 サイバー犯罪の闇市場は、年間数兆ドル(数百兆円)を継続して生み出している。警察や消費者の目をかいくぐり、ダークウェブでは大量の個人情報や、それを盗むためのハッキングツールが売買されてきた。これらのWebサイトでは、不正に取得された240億件ものユーザー名とパスワードが出回っていると考えられている。中でも人気が高いのは新規のクレジットカード情報で、なりすまし詐欺を働こうとする詐欺師らによって大量に購入されている。

 PINコードとICチップ(EMVとも呼ばれる)を導入した国では、クレジットカード情報からカードを複製することは難しい。そのため、オンラインでのCNP(Card Not Present:非対面取引)が攻撃対象になる。詐欺師はオンラインで高級品を購入したり、場合によっては商品券を大量に購入するケースもある。これは、不正に得た資金をマネーロンダリングする手法としても知られている。これらのカードに関する市場規模を推定するのは難しいが、ある世界的な闇市場の運営者は、そのサービス停止までに3億5,800万ドル(480億円相当)を得たと推測されている。

 以上を踏まえ、攻撃者がクレジットカード情報を詐取するのに用いる5つの方法と、それらから身を守る方法について解説する。

1. フィッシング
 フィッシングは、サイバー犯罪者がデータを詐取するのに最も一般的な手法の1つだ。簡単に言うと、正規の送信元(例:銀行、Eコマース事業者、それらの関連IT企業)になりすまし、個人情報を入力させたり、意図せずマルウェアをダウンロードさせたりするような詐欺手法だ。リンクをクリックする、あるいは添付ファイルを開くよう促すものが多く見受けられる。巧妙に偽装したWebページへ誘導し、個人情報や銀行口座の情報を入力させる場合もある。フィッシング詐欺は、2022年第一四半期に過去最高の被害を記録したと報告されている

カードユーザーの皆さまへ

 通常と異なる地域からカードの使用があり、オンライン購入を停止しました。位置情報が特定できなかったため、取引を停止し、セキュリティ保護のためにカードとオンラインアカウントを一時的に停止しております。

 セキュリティ・ロックを解除するには、直近のオンライン取引の履歴をこちらから確認してください。

 直近の取引を確認するのはこちら

 この手続きは、最高の体験をもたらすための対策に基づくものです。

 お手数をおかけしますが、よろしくお願い申し上げます。

アメリカン・エクスプレス 顧客サービスチーム

 フィッシングメールの例。このメールの詳細については、以下の記事を参照してほしい

フィッシング詐欺に気をつけろ! 被害者にならないためにするべきこと

 この手の詐欺は、近年、進化を遂げてきている。メールの代わりに、悪意のあるテキストメッセージ(SMS)を送り、配送業者や公的機関、その他の信頼される組織になりすますようになった。クレジットカード情報を得るために、信頼できる情報源を装って電話をかけることさえある。ある調査によると、2021年にはSMSフィッシング(スミッシング)が前年比で倍増した一方で、音声フィッシング(ビッシング)も急増していると報告されている。

2. マルウェア
 サイバー犯罪の闇市場は今や一大産業であり、データだけではなくマルウェアも取引されている。近年、データを詐取するため、さまざまな悪意のあるプログラムが開発されてきた。例えば、Eコマースや銀行のWebサイトでクレジットカード情報を入力する際に、キーボード入力の内容を盗み取るものもある。では、どのように被害者のコンピューターへ、これらのマルウェアを侵入させるのだろうか?

 フィッシングメールやテキストメッセージによる侵入が、よく使われる手法だ。悪意のあるオンライン広告もその1つだ。ほかには、一般的なWebサイトを侵害して、ユーザーがアクセスしてくるのを待つ方法もある。これはドライブバイダウンロード型マルウェアと呼ばれ、改ざんされたWebサイトを訪問したユーザーに悪意のあるプログラムをダウンロードさせようとする攻撃だ。また、情報詐取型マルウェアは、正規のものに見せかけた悪意のあるモバイルアプリに隠されているケースもある。

3. デジタルスキミング
 攻撃者がECサイトの決済ページにマルウェアを仕掛ける場合もある。ユーザーからは認識できないが、クレジットカード情報を入力した際にスキミング(情報の抜き取り)の被害に遭う。比較的安全だと思われる大手企業やWebサイトで買い物を行う以外には、ユーザーが身を守るのにできることは少ない。デジタルスキミング(別名オンラインカードスキミング)の検出数は、2021年の5月から11月の間に150%増加した

4. 情報漏えい
 消費者が普段利用している企業や組織から、直接カード情報が窃取されるケースもある。医療機関、ECサイト、旅行代理店などだ。一度の攻撃で膨大なデータにアクセスできるため、攻撃者からみると費用対効果の高い方法だと言える。

 一方、フィッシング攻撃は個々人から情報を盗む必要があるものの、これらは自動化が進んでいる。残念ながら、2021年に米国における情報漏えいは記録的な被害件数となった。

5. 公共Wi-Fi
 外出時に空港、ホテル、カフェ、その他の公共スペースにおいて、無料のWi-Fiホットスポットを介してインターネット接続するのは魅力的に思える。しかし有料のWi-Fiスポットである場合でさえも、攻撃者が同じように接続できるのであれば、安全とは言えない。標的がクレジットカード情報を入力する際に、攻撃者が公共Wi-Fiを介して盗み見るのだ。

クレジットカード情報を保護する方法

 幸い、クレジットカード情報が犯罪者の手に渡るリスクを軽減する方法は多い。以下の対策から始めると良いだろう。

・見知らぬメールには返信しない、リンクをクリックしない、添付ファイルを開かないことを徹底する。マルウェアが仕掛けられている恐れがあるからだ。正規のものに見せかけたフィッシングページへ誘導し、詳細情報を入力させる場合もある。
・信頼できそうな相手だとしても、電話越しにクレジットカード情報を伝えてはならない。どの企業・組織から電話をかけているのかを確認し、かけ直すようにしたい。ただし、その相手が伝えた電話番号を鵜吞みにするのは避けるべきだ。
VPN(仮想プライベートネットワーク)を使っていないときは、特に公共Wi-Fiの利用を避ける。どうしても接続が必要な場合は、クレジットカード情報の入力が必要な手続き(オンラインショッピングなど)は行わない。
・次回購入の際に時間が節約できるとしても、オンラインショッピングや、その他のWebサイトにクレジットカード情報を保存しない。その企業が情報漏えいの被害に遭ったり、アカウントが乗っ取られたりした場合でも、クレジットカード情報が窃取されるリスクを軽減できる。
・すべてのコンピューターやデバイスで、著名なベンダーから提供されているフィッシング対策機能を含むセキュリティソフトを導入する。
・機密情報を含んだ、すべてのアカウントに二要素認証を適用する。盗まれた、あるいはフィッシング詐欺で詐取されたパスワードによってアカウントへ不正侵入される危険性を低減できる。
・正規のアプリストア(App Store、Google Play)からダウンロードしたアプリのみを使用する。
・オンラインショッピングの際には、HTTPS通信を使用するWebサイト(WebブラウザーのアドレスバーでURLの横に鍵アイコンが表示される)に限定する。これにより、通信データが盗聴されるリスクが軽減される。

 最後に、銀行口座やクレジットカードのアカウントを常に監視しておくことをお勧めする。疑わしい取引を見つけた際には、銀行やクレジットカード事業者の不正対策チームへ直ちに連絡するべきだ。セキュリティ侵害がないことを確認できるまで、特定のクレジットカードによる支払いを「凍結」できるアプリもある。攻撃者がクレジットカード情報を盗む方法がいくつもある一方で、それらを奪われないよう保護する方法もまた豊富に揃っているのだ。

[引用・出典元]
5 ways cybercriminals steal credit card details by Phil Muncaster 27 Jun 2022 - 11:30 AM
https://www.welivesecurity.com/2022/06/27/5-ways-cybercriminals-steal-credit-card-details/