あなたのクレジットカードが狙われる！　ウェブスキミングとクレジットマスターとは？

多くの人がスマホを持ち、利便性を享受する社会の陰で、ショートメールなどを利用した巧妙な詐欺が多発しています。また、SNSを通じて犯罪グループに一般人がリクルートされ、犯罪に手を染めてしまう「闇バイト」も社会問題化しています。サイバー犯罪の手口や仕組みを知り、自衛することが求められます。

特に最近増加しているのが、発覚しにくいクレジットカード不正利用の手口。ECサイトが改ざんされる「ウェブスキミング」や、クレカ番号自動生成による「クレジットマスター」の手口をまとめます。

本稿は『深掘り！ IT時事ニュース　読み方・基本が面白いほどよくわかる本』(技術評論社刊)より、内容の一部を抜粋・編集したものです。

ウェブスキミングの被害が続発

クレジットカード番号の不正入手手口として、ここ数年大きく流行しているのが「ウェブスキミング」です。スキミングとは店頭決済のときに、店員などが不正にカード情報を抜き取る手口ですが、そのウェブ版・オンライン版とも言えるのがウェブスキミングです。

具体的には、犯罪者がショッピングサイト（ECサイト）に侵入し、決済ページなどを改ざんすることで、訪れたユーザーのクレカ番号等を盗み取る手口です。「オンラインスキミング」や「フォームジャッキング」と呼ばれることもあります。

この手口は、古くは2013年頃からあり、特に2021年以降に日本での被害が目立っています。被害を受けているのは、おもに企業が自社でECサイトを運営する場合で、大手企業よりも中小企業が多くなっています。

ECサイトへの攻撃としては、古くからECサイトのサーバーへの不正アクセスによるデータ漏えいがありました。ECサイトに保存されていた利用者のクレカ番号などのリストを盗み出すものです。

しかし現在では安全対策として、クレジットカード番号等を保存しないECサイトが増えています。「カード情報の非保持化」、つまりクレカ番号などをECサイト側に保存せず、クレジットカード会社側で決済することで、ECサイトからの漏えいを防ぐものです。

この「カード情報の非保持化」を突破する攻撃がウェブスキミングです。ECサイト側で保存しないサイトでも、決済ページ自体を改ざんすることで、入力されたカード番号等を犯人側に送るものです。

EC向けシステムの弱点から侵入

2021年以降で報道されているECサイトからのクレジットカード情報漏えいは、多くがこのウェブスキミングによるものと言っていいでしょう。以下の図は、犯人によるECサイトへの侵入手口です。日本国内の被害でもっとも目立つのは、ECサイト向けCMS（コンテンツマネジメントシステム：ウェブサイトの構築や運用を行うシステム）の脆弱性を攻撃して侵入する手口です。たとえば、日本でもっともシェアが大きいECサイト向けCMS「EC-CUBE」の脆弱性を突いて侵入し、決済ページを書き換えられてしまう被害が出ています。

• （イラスト：タラジロウ）

脆弱性とは、ソフトウェアなどの弱点・問題点のことで、外部から攻撃されると侵入される原因となります。どのソフトウェア・システムにも脆弱性はあり、発見され次第バージョンアップなどで直されています。このアップデートを行わずに、脆弱性が残ったままの古いバージョンのCMSを使っていたECサイトが侵入されているのです。

ふたつ目の侵入手口は、決済ページで実行されるスクリプトを改ざんする方法です。スクリプトとはプログラムの一種で、ECサイトでは決済用スクリプトのほか、アクセス解析などでもスクリプトが使われています。これらのスクリプトを改ざんし、本来の決済のほかに犯人側に送る命令を加える形です。

三つ目の侵入手口は、単純なパスワードを使うなど、脇の甘い管理者アカウントを狙うもの。犯人は管理者として入るため、当然ながら決済ページの改ざんが自由にできてしまいます。これらの手口により、正規のECサイトの決済ページが改ざんされてしまうのです。

クレカ番号を盗み取る巧妙手口

改ざんされたECサイトからクレカ番号を盗み取る手口が、こちらの図です。

私たち一般利用者がそのECサイトで買い物をしたとします。サイト内にある決済ページで、クレジットカードや住所などを記入するわけですが、その情報は改ざんによって犯人側に送られてしまいます。

犯人側に送る手口（クレカ番号を不正入手）は、おおむね3種類があります。1つは決済ページで実行されるスクリプトが細工されている場合。入力した情報が犯人側に送られるスクリプトになっています。

2つ目は、決済ページで使われている外部のスクリプトが細工されている場合です。たとえば広告表示のスクリプト、アクセス解析用のスクリプトなどが該当します。ECサイト側ではなく、そこに設置されているスクリプトを作っている企業（広告配信企業、アクセス解析企業）側で改ざんされているのです。ECサイト側で検知しにくい厄介な手口です。

3つ目は、偽のクレカ決済画面で盗み取るパターンです。一部のECサイトでは、決済ページを自分では持たずにクレジットカード会社側のページにジャンプさせて決済するものがあります。このジャンプ先へのURLリンクを改ざんし、犯人側が用意する偽ページで入力させるパターンです。

正式決済も行われるため発覚しにくい

犯人にとって、ウェブスキミングはメリットがふたつあります。ひとつは、ほぼすべての情報を入手できること。クレジットカード番号・有効期限・氏名・セキュリティコードなどのクレカ情報に加えて、住所・氏名・電話番号などを入手できてしまいます。配送の情報が含まれているためです。犯人にとっては、クレジットカード情報だけでなく詳細なデータを入手できるため、その後の悪用に使えるというメリットがあります。

ふたつ目のメリットは「気づかれにくい」点にあります。ウェブスキミングでは、通常の買い物も同時に行うことが多くなっています。具体的には、1回目の記入ではエラーの表示を出し、もう一度入力させて2回目は正常に決済されるパターンがあります。

エラーの表示は多くの人が見たことがあるでしょう。エラーが出ても「ああ、番号を間違えて入力したか、もう一度入れ直そう」と警戒せずに再入力する人が多いはずです。しかし、最初のエラー表示は偽物で、実際には犯人側に送られてしまいます。最近の手口では、エラー表示が出ないパターンもあります。

この方法だと、ECサイトで購入したものは実際に届きます。本物の決済が行われているからです。商品が届かなければ不正や偽サイトを疑うでしょうが、本物の商品が届くために警戒心が薄れてしまうのです。利用者側だけでなく、ECサイト運営側としても通常の決済に見えるため、気づくことが遅くなります。

このウェブスキミングの対策ですが、私たち一般利用者による事前対策はほとんどありません。本家のECサイト自体が改ざんされているため、私たちが気づくことが事実上不可能だからです。消極的な対策にはなりますが、企業直営のECサイトは利用せず、大手総合ECサイトを利用することで多少は避けることができるかもしれません。

ウェブスキミングを防ぐには、ECサイト運営会社側の努力が必要です。犯罪者の侵入を防ぐためにセキュリティ対策をしっかりすること。特にCMSの脆弱性、改ざん検知、スクリプトのチェックなどが不可欠です。それに自信がない企業は、自社でECショップを持たずに大手総合ECサイトを利用することに徹したほうがいいのかもしれません。

番号自動生成の「クレジットマスター」

クレカ不正利用で報道は少ないものの、一定の被害が常に出ている犯罪があります。それは「クレジットマスター」と呼ばれる手口で、クレジットカード番号等を自動生成し、ECサイトなどでカードが有効か確認したうえで不正利用する手口です。

自動生成によってランダムに作られたクレカ番号が不正利用されるため、まったく使っていないクレカでも被害に遭ってしまう厄介な手口です。過去には、多くのテレビ番組でMCを務める有名タレントが被害を受けたことがあります。

普段使っていなかったクレジットカードの会社から連絡があり、「パーティーグッズの販売サイトを利用しましたか？」と聞かれたのです。身に覚えがないと伝えたところ、カード会社から「クレジットマスターだと思われる」と言われたそうです。

具体的には、早朝にあるサイトで少額の利用があり、その数時間後に複数のサイトで不正利用されていました。勝手にハロウィンのパーティーグッズ、テーマパークのチケットなどが購入されており、11万円超の被害が出ています。クレジットカード会社の監視により連絡があったため被害を逃れましたが、まったく使っていないカードが不正利用されたことからびっくりされたようです。

筆者が推測するに、最初の早朝の少額利用は「クレカが有効かチェックする作業」で、その後の購入が本格的な不正利用だったと思われます。この「有効かチェックする作業」というのがクレジットマスターの重要な手口なのです。

自動生成番号をチェックする手口

クレジットマスターでは、カード番号等を自動生成するプログラムを使ってカード番号を作り出します。ただ、自動生成した番号はあくまでランダムであるため、実際に有効なカードである可能性はとても低くなっています。

そこで犯人は、クレカ番号が有効かチェックできてしまうECサイトを利用します。

クレジットカード決済できるECサイトは、さまざまなチェック・認証を行って不正利用を防止する仕組みになっているのが一般的です。

しかし、一部のECサイトではこのチェックが甘い現実があります。甘いサイトでは、クレジットカード番号などを入力して「有効なカードかどうかチェックする作業」が何度もできてしまうのです。犯罪者はこの甘いサイトを利用し、自動生成したクレカ番号をチェックにかけて有効な番号を探し出す作業をするのです。

自動生成したクレカ番号はほとんどが存在しないものですが、大量に繰り返すと偶然にも有効なカードと一致するものが出現します。犯罪者は、その偶然にも一致したカード番号を使って不正利用するのです。

サイトで異なる決済の認証要素

自動生成されたカード番号で決済できてしまうのはなぜでしょうか？　それは、決済時の認証要素が少ないECサイト、言い換えれば対策の甘いサイトが使われるからです。

クレジットカードには、認証の要素が大きく分けて3つあります。

• ① クレジットカードの盤面に書かれている要素：16桁のクレカ番号、有効期限、名義、3桁もしくは4桁のセキュリティコード
• ② 店頭決済で使う暗証番号：4桁の暗証番号（PINコード）
• ③ ネット決済用のパスワード：3Dセキュアと呼ばれるネット決済専用のパスワード。事前に設定するか、ワンタイムで発行されるものがある

このうち、犯罪者が自動生成するのは①のカード盤面に書かれている要素で、16桁のクレカ番号、有効期限、セキュリティコードの3種類だと考えられています。16桁が偶然一致するのはとても低い確率なので、自動生成するのは難しいように思えます。

しかし、クレジットカードの16桁のうち最初の4桁はカード発行会社を表すものなので、有効なものが固定されています。最後の1桁はチェックサム（チェックディジット）と呼ばれる数字で、それまでの数字から自動的に計算されるもの。残りは11桁であり、これなら自動生成によって有効なカードを見つけ出す可能性が高まります。

このほかに有効期限もありますが、多くが5年間程度の月と年であり、これは60通りに過ぎません。セキュリティコードもありますが、3桁なら1,000通りです。

合わせる組み合わせの数は膨大になるものの、犯罪者は自動プログラムを使って無人でチェックをしていきます。チェックの甘いサイトで自動生成した番号などを試していく自動プログラムですから、何もせずに放置すればいいわけです。ここで見つかった有効なカード情報を使って不正利用していくのが、犯罪者によるクレカ不正利用の手口です。

3Dセキュア対応なら防げるが

クレジットマスターをECサイト側で阻止する方法はあります。それは③のネット決済用のパスワードを使う方法です。3Dセキュアと呼ばれる認証方法で、事前にユーザーが設定したパスワード、もしくは最新の3Dセキュアではそのたびに発行されるワンタイムパスワードで認証してから決済するものです。これなら自動生成はほぼ不可能であり、有効なクレカ番号であっても不正利用は阻止できます。

3Dセキュアは、クレジットカードの不正利用を根本的に阻止できる仕組みです。偽サイトなどで詐取されたクレカ番号であっても、最新の3Dセキュアに対応していればワンタイムパスワードによって阻止できる可能性が高まります。

ならば、すべてのECサイトが3Dセキュアに対応すればいいのに、と思うかもしれません。しかし、そうするとECサイトに不利益が生じるのです。3Dセキュアが面倒、パスワードを忘れたなどの理由で、利用者が決済をあきらめてしまうパターンが増えるからです。

そのため、3Dセキュアを使っているのは一部のECサイトに過ぎません。少額の決済が多いECサイトでは、3Dセキュアなしで決済できるものが多くなっています。安全と利便性（ECサイトにとっての売上）を天秤にかけて、ECサイトでは3Dセキュアを使わないサイトがあるということです。結果として、クレジットマスターなどの不正利用を阻止することが難しくなっています。

事前対策として、私たちカード利用者ができることはなく、できるのは事後のチェックとして利用明細を確認することのみになります。

対策としては、ECサイト側の対策強化が望まれます。特に「カード番号が有効かチェック」できてしまうサイトの存在が最大の弱点と言えるでしょう。犯罪者が番号有効チェックができないような仕組みをECサイト側が用意してほしいものです。