クレジットカードにまつわる事件！特に多いのは個人情報流出関係

クレジットカードにまつわる犯罪と言うのは結構発生しています。例えば、よく新聞やニュースなどで目にする「個人情報の大量流出事件」と言うのも、1～2年に1回ぐらいあるような感じですね。

海外、特にアメリカではではもっと頻繁に起こっています。昔に比べれば情報セキュリティは格段に向上していますので、そうした事件は減少傾向ですが、それでも自衛の意識はしっかり持っておいた方が良いと思います。

カード情報は通販サイトのサーバーが狙われやすい

比較的最近に起こった情報流出事件として注目したいのは、森永乳業の健康食品通販サイトから、利用者の個人情報がカード情報もろとも流出してしまった事件です。

実はこの事件、すでに運用が終わった旧サーバーの運用時にデータが狙われた可能性があると言うことです。

被害規模はカード情報だけで3万人近くに上る

この事件では当初、カード情報として次のようなものが流出したのではないかと言うことが疑われました。

• カード番号
• カード名義人氏名
• 有効期限
• セキュリティコード

これはかなり大変なことですね。

セキュリティコードまでわかってしまうと、3Dセキュアを導入していない通販サイトなどで悪用し放題です。

実際、情報流出に気づいたのはカード会員だったようです。そこからカード会社に問い合わせが入り、カード会社の調査で森永乳業に流出の可能性が指摘されたようです。

しかし、セキュリティコードは基本的に加盟店が保存してはいけないデータです。とすると、システムがハッキングされて、入力データがそのまま外部に流れた可能性もあることになります。

古いシステムには脆弱性が残っているケースも多い

会社のサーバーはそれほど頻繁に入れ替えを行いません。また、OSを含めてシステムにセキュリティホールがあった場合、比較的新しいシステムならセキュリティ情報が出たら、管理者がすぐにアップデートを行うなどの対応をするでしょう。

しかし、この森永乳業の件では不正利用が判明した半年前にはサーバーの入れ替えを行っています。ですので、調査は保存されていたバックアップデータに対して行われたそうです。

結果、入れ替え前のサーバが持っていた脆弱性がターゲットになり情報が流出したのだろうと言うことです。

これについては想像でしか物が言えませんが、契約期間満了などでサーバを入れ替える直前には、システムのセキュリティパッチなど、細かな対応がおろそかになっていたのではないでしょうか。

最終的にはそれほど大きな事件にはなりませんでしたが、消費者からは企業のサーバーの運用状況などは知る由もありませんから、ちょっと怖い話ですね。

よく聞く脆弱性とは何なのか

こうした企業サーバーに悪意の第三者が攻撃を仕掛けて情報を盗んだとかいう事件の際には、「サーバーの脆弱性を突いて」と言う言葉が良く使われます。

脆弱なものなんか使わずに、頑丈なものを使えばいいのにって思っちゃいますよね。

でも、この場合の脆弱性と言うのは少し違う意味なのです。

脆弱性はバグの一種だがコンピュータの動作に悪影響がない

脆弱性はバルネラビリティの訳語として使われています。プログラムのミスについては俗語であるバグ（虫）と言う言葉がすっかり日本語化して定着してますね。

それに対してバルネラビリティは長い上にあまり知られていない単語ですから、訳語の脆弱性が使われるようになったのです。現在ではプログラムミスを二つに分けています。

• プログラム本体が正常に動作しないもの：バグ
• プログラム本体は正常に動作するがセキュリティ的に弱点になっているもの：脆弱性

もちろん、プログラムを開発する際には、まずバグをなくすのが肝要です。動かないのでは話になりませんよね。これは巨大な研究用専用の物や、銀行のような巨大システムから、スマホゲームの無料アプリに至るまですべてに共通します。

一方、脆弱性についてはお金との関係で目をつぶってしまっている部分が意外に多いのです。そうしないと、お金が回らなくなるというのが本当のところなのです。

つまり、最低限のトラブルが起こらない程度まで完成したら、まずリリースすることで開発資金を回収し、重大なトラブルにつながりそうな脆弱性が発見されたら、後からセキュリティパッチを当てるというやり方で進んでいます。

脆弱性をなくすことは事実上不可能なので別の対策が必要

脆弱性と言うのは一種類ではなく、無数に存在し得るものです。したがって、脆弱性のないシステムを作り上げることは事実上不可能です。

ならばどうするかと言うと、システムの脆弱性を突かれて情報が盗まれても、悪影響を最小にすることが大切になります。

クレジットカードの場合で言うならば、「経済的被害が出ないようにする」対策を打っておけばいいことになりますね。

クレジットカードを扱うサーバーへの攻撃は大まか次の二種類になります。

• サーバーに侵入してデータを盗み出す
• サーバーに偽のプログラムを置いて、利用者を偽のサイトに誘導する

前者は消費者の立場では対策しにくいです。例えば信頼できる企業の通販を利用すると言った消極的対策しかできません。先の例のように森永乳業のような信用度の高いサイトでも被害に遭うことはあります。

一方、カード会社はセキュリティコードの加盟店側での保存を禁止しています。森永乳業はこのルールをきちんと守っていたために、セキュリテォコードの流出は避けられたと言うわけです。

しかし、小規模な店舗や個人商店レベルでは、通販どころか実店舗販売でもセキュリティコードを記録、保管していた事例も報告されていますから、やはりある程度以上の大手の方が安心かもしれません。

後者はメールなどで偽のサイトへ誘導するフィッシングの高度なもので、本物の企業サイトのWebサーバーに侵入して通販サイトなどを書き換え、リンクを不正に書き換えて、利用者を偽の通販サイトへ誘導します。

そして、そこで偽の決済画面を表示してカード情報を入力させるわけです。カード情報の直接盗み取りと言うわけですね。もちろん、注文した商品は届きません。

アメリカでは実店舗利用のカード情報が流出した

アメリカの大手百貨店・ディスカウントスーパーの「ターゲット」では、2013年に顧客のカード情報が4,000万件も流出するという事態が発生しました。

ネット通販などではなく、実店舗で購入に利用されたカード情報が盗まれたと言うことで。かなり大きな騒ぎになっていたのを覚えています。

システムが乗っ取られたら通販も実店舗も関係ない

システムの脆弱性を突かれて、会社のシステムに侵入を許してしまったら、お客さんが支払いに使ったクレジットカードの情報がカード会社に送信される際に、その情報を違うところへも横流しできてしまいます。

そうしてカード情報を盗んでしまう犯罪と言うのは存在するのです。

このターゲットの事件は、予想以上に早く進入個所が発見され被害は最小限で済んだようです。最初に4,000万件と発表されて大騒ぎになったのは、システムが大きいことと被害が出た店舗が全米に広がっていたため、可能性としての数値だったそうです。

こうした被害に関しては、カード会員が注意できるポイントはありません。ウォルマートに次ぐ大手小売チェーンで、信頼性は充分だったはずです。

ところが、ここにはアメリカならではの事情が潜んでいました。2013年当時、アメリカのクレジットカードのほとんどは磁気ストライプカードだったのです。

磁気ストライプカードは簡単にクレジットカードが偽造できる

クレジットカードには大まかに分けて4種類の取引パターンがあります。

• インプリンターでカードのエンポス加工文字を伝票に写し取る取引
• 磁気ストライプカードリーダーで情報を読み取る取引
• ICクレジットカード対応リーダーにセットして情報をやり取りする取引
• 非接触カードリーダーにクレジットカードをかざして行う取引

さすがに一番上のものはほとんど見ることがなくなりましたが、偽造しにくいという意味ではこれは結構偽造しにくいです。このカードを使う時にはお店からカード会社に電話して、信用照会を行うからです。

一番偽造が簡単なのが磁気ストライプなのです。ですから、カード情報が流出すると磁気ストライプカードが偽造されて使われると言うことがよく発生します。

にもかかわらず、クレジットカードの中心は磁気ストライプと接触式ICチップなのですが、アメリカではこのターゲット事件を契機に一気にIC化が進みました。

2016年～2017年ぐらいにはほとんど100%になっていると推定されています。

ヨーロッパはもっと早くにIC化されていますから、完全に出遅れたのは日本だということになります。

また、一番下の物は徐々に増えてきていますね。

たまたま、さっきローソンでコーヒーを買ったら、アメックス・コンタクトレスに対応したという案内が表示されていました。良い機会なので尋ねてみたら、VISA payWaveへの対応はまだだと言うことでした。