利用者もイオンも大変。カードの不正利用(381号)
2024年の前半から、イオンカードで大きなトラブルが起きています。
11/22には、イオンカード側から「イオンカードのセキュリティ対応について」と題したリリースが出ており、かなり深刻な状況であることがわかります。
イオンカードのセキュリティ対応について
https://www.aeon.co.jp/information/2024/security_initiatives/
今回のトラブルでは「オフライン取引」や「クレジットマスター攻撃」などわかりにくい言葉がいくつか出ていますので、そのお話をします。
なお、筆者はクレジットカード業界に明るいわけではありませんので、的外れなことを書いているかもしれません。
その場合は、コメントなどいただけますと大変嬉しいです。
次回以降でその点について触れたいと思います。
イオンカードのトラブル
イオンに限らず、クレジットカードでは一定数の不正利用が必ず起きています。
ですので、不正利用についてはどのカード会社でも24時間体制でサポートを行っています。
また、ここ10年でもクレジットカードの不正利用は増え続けています。
(日本クレジット協会調べ)
2014年:114億円
2015年:120億円
2016年:142億円
2017年:236億円
2018年:235億円
2019年:274億円
2020年:253億円
2021年:330億円
2022年:436億円
2023年:540億円
特にここ数年の増え方は異常で、20%を越える勢いで増え続けています。
イオンカードも他と同様にサポート窓口を開いているわけですが、サポート部隊がさばき切れない物量の不正利用が発生し、全く処理が追いついていないようです。
中にはカード停止を依頼してから、何ヶ月経っているのに解決しない(返金されない)という方もおられるようです。
さて、カードの不正利用には、カード番号を入手すること、そしてそれを使って不正利用を行うこと、という二つのハードルを越えなければなりません。
今回、イオンカードの不正利用が集中したのは、筆者の推測ですがイオンカードを騙った詐欺メールにだまされた方が多かったということではないかと思われます。
イオンカード利用者のITリテラシーが低いということではありません。むしろ、功妙な詐欺メールであった可能性が高いと思われます。
さて、今回は冒頭に挙げたイオンカード(イオンファイナンシャルサービス株式会社)自身のリリースに、いくつかわかりにくい用語がありました。
今回は以下の三点についてお話をします。
・オフライン取引
・クレジットマスター攻撃
・リアルタイムフィッシング
オフライン取引
お店でカードを利用する時には、必ずカードを機器に通します。
昔はお店でクレジットカードを使うと端末でカードの磁気ストライプ(カードの裏についている黒い帯)を読み取っていました。(さらに昔は手書きの紙運用でした。なんて牧歌的な時代...)
さて、磁気ストライプのクレジットカードは偽造が極めてカンタンでしたので、今は銀行のキャッシュカードもクレジットカードもICカード方式になっています。
このあたりのICカードができた事情に興味のある方は以下をどうぞ。
さて、カードを使う場合は販売する側は手数料をカード会社に払います。
手数料率はお店によってバラバラですが、基本的には安価な商品は料率が高く、高額商品の場合は料率は低くなります。また、手数料には最低料金が設定されています。
また、手数料はお客さんには請求しないことになっています。
例えばあるお店の最低手数料が100円だとすると、支払いが300円とか500円のお客さんがクレジットカード使われると困ります。赤字になりますもの。
クレジットカードって、客単価の安い商売向けではないのです。
ということは、逆にそれを狙った商売が成立する余地もあるということです。
自動販売機を思い出してください。
アレって単価の安い商売ですから、クレジットカードは論外です。
でも、最近ちょいちょい見かけませんか?電子マネーが使える自販機。
そう、電子マネーはまさにクレジットカードが逃してきたスキマを狙った少額決済が可能なサービスなんです。
例えば、筆者は楽天Edyを使っていますが、これは前払いでEdyのカードにお金をチャージ(プール)しておき、そのEdyのカードでコンビニや自販機での支払いができます。
カード会社からは、Edyのカードにチャージした時点で5000円の請求が行えます。
では、チャージの時スマホをオフライン状態(インターネットに接続できない状態)にするとどうなるか?多くの場合はカード会社に接続できないという理由でエラーになりチャージができません。
ですが、ひょっとするとホントに利用者がインターネット接続できない場所にいるのかもしれません。なので、利用者の利便性を優先しネット接続できなくても低額なら擬似的に承認をしてしまうサービスがあります。
これがオフライン決済です。
もちろん、スマホがオンラインになった時点で改めてカード会社に利用承認を取りますから、通常は問題になりません。
ですが、例えば機内モードなどのオフラインにしたままで次々と擬似的な決済を取り続ければ、これはもう「うちでのこづち」です。
1ヶ月も続けるとかなりまとまった金額になります。
もちろん、本人がこれをやっても何も問題ありません。
だって、支払うのは本人ですから。
ですが、これを盗まれたカード番号でやられると大変です。
決済を行った端末はオフラインのままですから、当人も不正利用を知る術がありません。
ですが、月締めの日が来れば、電子マネーの会社からカード会社に明細が送られてきます。そこで不正利用に気付いた本人が驚いてサポート窓口に連絡します。
保険会社は本当に不正利用であると証明してもらわないことには保険金を支払えませんが、利用者の狂言か被害者かを判断することは極めて難しいでしょう。
おそらくは、チャージした場所や使用用途などから狂言かどうかを判断をするのでしょうが、気の遠くなるような地味で大変な作業です。
こんなのしてりゃ、調査に何ヶ月もかかるのも納得できます。
クレジットマスター攻撃
これはネット上で、クレジットカード番号を盗む場合に利用される手法です。
クレジットカード番号というのは、ランダムなようでランダムではありません。
一定のルールに従って番号体系が決められています。
ですので、それっぽい番号を与えて、それっぽい有効期限を設定して、有効かどうかを調べることができます。
これに最適なのは、イオンも含めた各サービスでのクレジットカード登録画面です。
通常は手元にあるカードの番号と有効期限を設定するのですが、ここに適当な番号を入れて有効確認を取ることができます。
こうやって有効なカード番号と有効期限のセットを取得することをクレジットマスター攻撃と言います。
一時はかなり流行していたようですが、サイト側の対策が進んだこともあり、最近はあまり行われない手法のようです。
とはいえ、今回わざわざこの攻撃手法が取りざたされるということは、イオンカード側での対応に甘い部分があったのかもしれません。
実際、冒頭のリリースにも「クレジッットマスター攻撃に関しては、イオンカードでは監視・モニタリングを実施しています」とあるだけで、攻撃の有無には触れていません。単に筆者の勘ぐりすぎかもしれませんが。
リアルタイムフィッシング
フィッシング詐欺については、このメルマガでも何回も書いていますので、ここでは繰り返しません。
よくわからないという方は以下をどうぞ。
リアルタイムフィッシングというのは、多要素認証をやりすごすためのテクニックです。
例えば、サービスのIDとパスワードを盗み取ろうとする場合、やっかいなのが利用者のスマホなどに送付されるワンタイムパスワードの類です。
フィッシングメールにだまされた人がこのニセサーバにアクセスし、IDとパスワードをまんまと入手したとしても、スマホを持っていない限り、ワンタイムパスワードが入手できませんから、そう簡単にログインできません。
ワンタイムパスワードをあてずっぽで入力しようにも、その都度、(正しい)利用者のスマホにワンタイムパスワードが届き続けますから、さすがにバレてしまいます。
そこで、ニセサーバでは、IDとパスワードを盗むだけでなく、その場で本物のサーバにもアクセスして、入手したIDとパスワードを本物サーバのログイン画面で入力します。(人手でやるわけではなく、専用のプログラムにやらせます)すると、本物のサイトはワンタイムパスワードを本人のスマホに送ります。
一方で、ニセサーバには「先ほどお送りしたワンタイムパスワードを入力してください」というメッセージを出して、ワンタイムパスワードを入力させます。
これで、犯罪者は本物のサーバにログインができてしまうというわけです。
ログイン後は、ワンタイムパスワードの送付用スマホを手元のスマホ番号に変更しておけば、成りすまし完了というわけです。
これをリアルタイム型フィッシング攻撃と言います。
まとめ
2024年になってから、イオンカードでの不正利用が頻発しているようです。
これは、オフライン決済という裏技的な手法を使い、カード会社が気付かないうちに少額(といっても一日一万円程度)の決際を繰り返すことで、不正利用の発覚を遅らせるというものです。
本人からの停止依頼以降の請求はカード会社としても第三者による不正利用であると判断しやすいのですが、問題はその前の決済です。
オフライン決済によって発生した停止依頼以前の決済をどう処理するかは、かなりの手間のかかる話で、限られた人員(しかもプロでないと勤まらない)での対応とならざるを得ませんので解決に時間がかかるのもわかります。
今回の不正利用されているカード番号の大半はフィッシング詐欺で窃取された番号とのことで、ここでもフィッシング詐欺対策の重要さがわかります。
最後に、本件については利用者が一番の被害者なのはその通りです。
ですので「イオン側の対応は遅すぎる」と不満を洩らすのは理解できます。
ですが、本件はイオン側も被害者です。
特にオフライン決済の悪用で、利用者の狂言か被害者かを識別に時間がかかることは必ずしもイオン側の責任ではないと筆者は思います。(脇の甘いところはあったのかもしれません)
別にイオンの肩を持つわけではありませんが、本件については気長につきあうしかないように思います。(お金が返ってくるか不安になるのはキツい話ですが)
今回は、イオンカードの不正利用についてお話しました。
次回もお楽しみに。
(この記事は2024年11月に執筆しました)
このNoteは私が主宰するメルマガ「がんばりすぎないセキュリティ」からの転載です。
誰もが気になるセキュリティに関連するトピックを毎週月曜日の早朝に配信しています。
無料ですので、是非ご登録ください。
https://www.mag2.com/m/0001678731.html
弊社の窓口( info@egao-it.com ) にメールをお送りいただいてもOKです。