カード詐欺の理解
カード詐欺(ヴィザスタッフィングとも呼ばれる)は、犯罪者(カードラー)が盗んだカード番号を入手し、その正当性を確認した上で、買い物に利用したり、他の詐欺師に売却して利益を得るサイバー犯罪の一種です。
正しい組み合わせを探すため、これらのボットは短時間で大量の試行を行います。例えば、カード保有者がカード番号と有効期限のみを入力し、3桁のCVVコードを入力しない場合、ボットは999通りのCVV番号をすべて試して正しいコードを見つけ出します。
カードクラッキングの理解
カードクラッキングは、カード詐欺の一種で、犯人がボットを使い、数多くの可能性のあるギフトカードコードを順次試すことで正しい組み合わせを探し出します。盗んだギフトカード情報は、ダークウェブで取引されたり、商品購入に利用されたりして現金化されます。
オンラインでのギフトカード詐欺は、ギフトカードに名前や住所、郵便番号が紐付けられていないため、ヴィザよりも匿名で利用しやすく、サイバー犯罪者にとって非常に魅力的です。
カード詐欺フォーラムとは
盗んだカード情報の共有や、収集・認証方法が取り扱われる違法サイトは「カード詐欺フォーラム」または「カード情報利用サイト」と呼ばれます。
盗んだカード情報を使用して不正な商品を購入しようとする者や、大量のカード情報を入手しダークウェブで転売しようとする犯罪組織が、こうしたサイトを利用します。
実際のカード詐欺とカードクラッキングの手口
カードクラッキングを利用した攻撃は、通常次のように進行します:
- 部分的に盗んだカード保有者情報の強制取得: 詐欺師がカード番号の一部を入手すると、自動化されたクラッキングツールで足りない情報(例:有効期限)を補うための組み合わせを試み、完全な情報を得ようとします。
- ヴィザを利用した購入: 犯罪者は決済システムを狙い、不完全なカード情報に対して多数の試行を重ねます。
- 完全なカード保有者情報: 成功すると、オンライン詐欺者は正確なカード情報をすべて入手します。
- カード詐欺攻撃はどのように行われるか?
- カードを用いた攻撃の手順:
- 犯罪者は、さまざまなアプリ、決済チャネル、またはダークウェブから盗んだカード情報を集めます。
- カード決済の手順: カード情報を確認するため、オンライン商店でテスト購入を行います。利用可能な残高を把握するため、テスト購入は少額から始め、徐々に金額を増やしていきます。
- 承認されたカード保有者情報: 成功すれば、詐欺師は情報の正確性やカードの詳細を確認し、その価値を評価します。
カード詐欺攻撃の影響
ブラックフライデーなどの大規模な買い物時には、カードクラッキングやカード詐欺攻撃が増加する傾向にあります。このため、企業やシステムが過負荷となり、異常なトラフィックや取引の動きを見逃す可能性があります。
2000年代半ば以降、インターネット上のカード詐欺市場やフォーラムが発展したことで、これらの攻撃は一層目立つようになりました。ロシアや中国のカード詐欺サイトやフォーラムは、セキュリティ専門家が運営している場合も多く、現状の市場を席巻しています。
カード詐欺をどのように検知するか
以下は、決済サイトがアクセス時に見られる可能性のあるカード詐欺ボットやその他の詐欺行為を識別するための指標です:
- 買い物かご放棄率の高さ
- 買い物かごの金額が全般的に小さい
- 偏った高い失敗決済率
- 買い物かごの決済額が不自然に使用されている
- チャージバックの増加
- 同じ顧客、IPアドレス、ユーザーエージェント、セッション、デバイスID、または固有の識別子が異なる決済を何度も試みる
カード詐欺攻撃を防止するには
ECサイトでは、所有物と知識(例:パスワードなど)の両方を用いてログインすることが求められる場合があります。これにより、クラッキングの完全な防止はできないものの、詐欺師が偽アカウントを作成したり、既存のアカウントを乗っ取るのが難しくなります。
- デバイスフィンガープリント
フィンガープリント技術は、アクセスしているプログラムやデバイスの情報を統合し、相手を識別します。クレジットカード詐欺の犯人やボットは何度も試行するため、デバイスを頻繁に変更することが困難です。場合によっては、プログラムの変更、クッキーの削除、プライベートモードや匿名モードの利用、さらにはエミュレーターや仮想PC、FraudFox、MultiLoginなどの高度な偽装ツールを使用する必要があります。
- 機械学習による行動解析
決済サイトの正規利用者は、通常一定の行動パターンを示します。しかし、ボットの場合、その挙動は必ずしも予測できません。行動解析技術を用いてユーザーの動きを監視し、不自然な行動や疑わしい取引を検知することで、不正行為やクラッキング攻撃を未然に防ぐことが可能です。
- ブラウザ検証
悪質なボットは、ユーザーエージェントを偽装することがあります。ブラウザ検証では、各ユーザーエージェントが正当なものであるか、所定のJavaScriptエンジンが含まれているか、意図通りに動作しているかを確認します。
- 段階的チャレンジ
利用者がボットである疑いがある場合、動的なテストを実施して判定する仕組みが必要です。本物の利用者に迷惑をかけないため、まずは影響の少ない方法から試すことが推奨されます。
ECサイトでは、PayPalやSquareなどが提供する決済APIが頻繁に利用されます。十分なセキュリティ対策が施されていないと、これらのAPIはJavaScript注入や情報乗っ取りといった攻撃にさらされる可能性があります。サイトはTLS暗号化や、OAuth、OpenIDなどによる強固な認証・認可の組み合わせで、多くの脅威から身を守ることができます。
- AVSとCVVの利用
AVS(住所確認システム)とCVV(カード検証コード)の2つの基本機能により、カードの住所および3桁のCVVが発行銀行の記録と一致するか確認されます。これらの機能を決済過程に組み込むことで、詐欺師がカード詐欺攻撃を成功させることが難しくなります。
- IPアドレスの一致確認
IPジオロケーションを利用し、アクセス元のIPアドレスがチェックアウトページに記載の住所と一致しているか確認します。一致しない場合、カードに登録されている住所以外からの購入が行われている可能性があります。多くの利用者がVPNを利用しているため、必ずしも偽装とは限りませんが、次の対策と併せてカード詐欺攻撃の兆候を探るのに役立ちます。
- カードの認証
決済前に、認証とキャッチの仕組みを用いて顧客のカード情報を確認し、正確性や利用可能残高をチェックすることが可能です。これにより、カード詐欺攻撃による不審な取引を決済前に見つけることができます。
結論
「カード詐欺」と呼ばれる攻撃は、基本的にボットを利用して盗んだカードやギフトカードの情報の正確性を検証するものです。これにより、年間数十億円の売上が失われ、企業の評判に大きなダメージを与える恐れがあります。Wallarmの最新のボット防御システムを活用すれば、複雑なボットに対してもサイト、アプリ、APIへのアクセスを防ぎ、カードクラッキング攻撃やその他のボット関連の脅威から効果的に守ることができます。
FAQ
参考資料
最新情報を購読
