2022年9月7日13:42
一般社団法人セーファーインターネット協会は、2022年9月1日、「フィッシング、クレジットカード不正の現状と対策を考える会」を開催した。今回の会は、インターネットの悪用をおさえ、自由なインターネット環境を守ることを目指す一般社団法人セーファーインターネット協会と、その会員企業を中心に開催した。関係省庁、業界団体、EC 事業者が連携し、フィッシング詐欺をはじめ、クレジットカード不正における動向や対策、最新の政策を紹介した。「決済セキュリティセミナー」でのMastercardの講演にもあるように、日本は不正利用が国際的に増えているエリアだ。同会の内容は今後の国内のペイメントカードの不正対策に重要であると考え、複数回にわたり紹介する。
左からメルカリ 執行役員 VP of Trust and Safety Japan Region篠原 孝明氏、一般社団法人キャッシュレス推進協議会 事務局長/常務理事 福田 好郎氏、警察庁 サイバー警察局サイバー企画課 課長補佐の清川 敏幸氏、経済産業省 商務・サービスグループ 商取引監督課 セキュリティ専門官 小西啓介氏、かっこ O-PLUX事業部 ディビジョンマネジャー小野瀬 まい氏、中山明氏、事務局長 中嶋辰弥氏(「フィッシング、クレジットカード不正の現状と対策を考える会」より)
増加するフィッシング被害
警察からの情報提供を強化
警察庁 サイバー警察局サイバー企画課 課長補佐の清川 敏幸氏は、クレジットカード不正利用の手口と警察庁におけるフィッシング対策について紹介した。
清川氏は不正の手口として、警察でこれまで検挙した事例の中から2つの事例を紹介した。まず、不正者Aはダークウェブ上にある他人のクレジットカード情報を購入し、犯人Bに転売する。BはECサイトで商品を購入するが、発送を受け取る受け子が介在する。多くの場合、受け子は闇バイトで募集しているという。不正に購入した商品は転売するなどしてお金に変える不正手口となる。
もう1つの例として、フィッシングサイトを作り、メールやSNSで拡散させ、人々が騙されてIDやパスワード、カード情報を入力し、その情報が不正者Dにわたり、それを不正者Eにして悪用する。不正者Eは買い子と呼ばれるものたちを集める。買い子は、自分のスマホに入っているアプリに他人のIDやパスワード、クレジットカード情報を紐付け、家電量販店などで換金性の高い商品を購入し、リサイクル店で販売してお金に変える。
警察庁では、これらに対し、いろいろな法律を適用して検挙している。AやBは有償でクレジットカードを売り買いしているため割賦販売法の違反だ。不正者Bと、共犯の受け子は電子計算機特許などの詐欺となる。フィッシングサイトを作った人や拡散させた人、不正者Dは不正アクセス禁止法違反となる。また、D、Eに加え、買い子は共犯の詐欺となり、一網打尽に検挙していく。
フィッシング対策として、警察庁はフィッシングベンダーに情報提供して、利用者が見たときにブロックする。警察庁は都道府県警察からフィッシングサイトに報告してもらう。これを集約してウィルスベンダーに情報提供する。これにより、利用者がフィッシングサイトを見たときに警告が表示される。2022年4月からは全国に通知して、警察からの情報提供を増やしているが、3月以降、事業者への提供件数、報告受理件数が増えている。多い月は2~3万の報告があるそうだ。
特徴的なフィッシングサイトとして、フィッシング対策協議会が6月24日に注意喚起を行っているが、クレジットカードの利用確認を装うフィッシングが増えている。Visa、Mastercard、JCB、American Expressといった複数のブランドのカードを入力させる手口だ。6月24日は6,000件の報告があり、増減しながら7月、8月も多くの報告が寄せられている。
清川氏は、電子メールを送る側が対応することで、なりすましのメールが届かなくなる「DMARC」を紹介した。DMARCでは、なりすましメールを迷惑メールフォルダに隔離したり、メールボックスに到達させないようにできる。清川氏は「官民連携しながらこれを事業者に導入していただく働きかけをしていきたいです」と語った。
10年前の3Dセキュアの推進は限定的な普及に
「クレジットカード決済のセキュリティの在り方検討会」を開催
続いて、クレジットカード決済のセキュリティ対策強化に向けた経済産業省の取り組みについて、経済産業省 商務・サービスグループ 商取引監督課 セキュリティ専門官 小西啓介氏が紹介した。経済産業省は割賦販売となるクレジットカードの規制をしている規制当局となる。その中で、小西氏はセキュリティの専門官として、サイバー事案、カード番号の漏洩事案を受けている。
EC決済は伸びており、昨年で20兆円の市場規模がある。中でもクレジットカードは6割以上の人が利用している。また、インターネットでのクレジットカード番号の取扱い機会も増加している。一方で、フィッシングなどによりクレジットカード番号搾取が不正に搾取されるケースもある。昨年は52万件の報告がフィッシング対策協議会にされた。フィッシングで語られるブランドの53.6%がEC系の事業者、約35.2%がクレジットカード会社関係となっている。
それらによって抜き取られたカード番号はクレジットカードの不正利用に使われる。クレジットの歴史は不正利用の歴史と言われるように、長い間不正者との戦いが行われてきた。現在、不正利用は偽造カードの使用から、番号盗用によるECなどでの不正利用に大きく変化している。2021年の被害は、約330億円となり、過去のピークとなった2000年の308億円を超える被害となった。その94%を占める番号盗用の主な要因として、①フィッシング、②クレジットマスター、③ECサイトからの漏洩などと推測している。
