クレジットマスタークレジットマスター(英語: BIN Attack)とは、クレジットカードの番号の規則性を悪用し、クレジットカード番号にある計算を加えて、他人のカード番号を割り出す手口である[1][2][3]。 番号の割り当てルールを利用していることから防止策は無い[1]。 概要クレジットカードの番号と有効期限を入力するだけで決済できるECサイトなどで悪用される。そもそもクレジットカードなどのIDカードの番号はISO/IEC 7812で附番ルールが定められており、またクレジットカードのBIN(Bank Identification Number, 銀行識別番号 別名IIN(Issuer Identification Number, 発行者識別番号))は事実上の公開情報である。そのため現在有効なカード番号であるかまでは分からないものの、そのクレジットカード会社に割り当てられているクレジットカード番号を生成すること自体は容易である[4]。またクレジットカードの有効期限は発行月から5年間程度なので、仮に5年とすると有効期限は60通りしか存在しない。そのためそのカード番号が有効である場合、名義人・セキュリティコードを確認しないECサイトを悪用して有効期限を変えて信用照会(オーソリゼーション)を繰り返すと、有効なカード番号と有効期限が容易に判明してしまう。 1989年(平成元年)頃、アメリカ合衆国で初めて確認された[3]。日本では、1999年(平成11年)頃から被害が確認されている[5][6]。 対策利用者側では、スキミングやフィッシングと異なり被害を防ぐ方法がない[3]。そのため日本貸金業協会では、身に覚えのない請求がないか、クレジットカードの明細書を必ずチェックし、不審な取引があれば、すぐにクレジットカード会社に連絡するように呼び掛けている[3]。 ECサイトでは、信用照会手数料の負担を嫌って避けていたオンラインでの信用照会を少額決済でも行ったり、信用照会に名義人の確認をするなど、複数要素でのチェックを行っている[7]。また同一アカウントで短時間に複数回の決済エラーが発生した場合は、一定時間購入処理を停止するなどの対策も取られている。 クレジットカード会社では不正使用検知システムを構築し、短時間で信用照会の失敗が繰り返された場合はそのカードもしくはショップからの信用照会を一定時間拒否したり、一時的にカードの使用を止めたり、即座に顧客に確認の電話連絡をする対策が取られる。またブランド品を扱うショップや換金性の高い高額商品を購入する場合は、販売店・利用者のステータスを見て決済拒否をしたり、海外ECサイトでの決済を拒否するなどの対策も取られている。ショップが犯人によるカード番号・有効期限の確認のための信用照会に悪用されることもあるため、そのショップのすべての信用照会を拒否したり、後日決済が取り消されたり、ECサイトのセキュリティが強化されるまで決済サービスの提供を拒否する、加盟店契約を解除するなどの対策が取られることもある。 なおセキュリティのさらなる強化のため、一部のクレジットカード会社・ECサイトでは本人確認のためのセキュリティコードを導入している。ただセキュリティコードは4桁もしくは3桁の数字であり、仮に3桁だとすると1000通りしか存在しない。そのため、盗み見・フィッシングサイトなどの手段でカード番号・有効期限・名義人が判明している場合、不正使用検知システムで検出されないよう十分に信用照会の間隔をあけたり、複数のECサイトで同時に信用照会を行うなどの工夫をすればセキュリティコードが判明してしまう。またセキュリティコードはクレジットカードに印字されているため、盗み見されるリスクもある。そこで、別途設定したパスワードを入力する必要がある3Dセキュアの導入も進んでいる[8]。 脚注
関連項目外部リンク
|