コンテンツにスキップ

クレジットマスター

出典: フリー百科事典『ウィキペディア(Wikipedia)』

クレジットマスター英語: BIN Attack)とは、クレジットカードの番号の規則性を悪用し、クレジットカード番号にある計算を加えて、他人のカード番号を割り出す手口である[1][2][3]

番号の割り当てルールを利用していることから防止策は無い[1]

概要

[編集]

クレジットカードの番号と有効期限を入力するだけで決済できるECサイトなどで悪用される。そもそもクレジットカードなどのIDカードの番号はISO/IEC 7812で附番ルールが定められており、またクレジットカードのBIN(Bank Identification Number, 銀行識別番号 別名IIN(Issuer Identification Number, 発行者識別番号))は事実上の公開情報である。そのため現在有効なカード番号であるかまでは分からないものの、そのクレジットカード会社に割り当てられているクレジットカード番号を生成すること自体は容易である[4]。またクレジットカードの有効期限は発行月から5年間程度なので、仮に5年とすると有効期限は60通りしか存在しない。そのためそのカード番号が有効である場合、名義人・セキュリティコードを確認しないECサイトを悪用して有効期限を変えて信用照会(オーソリゼーション)を繰り返すと、有効なカード番号と有効期限が容易に判明してしまう。

1989年(平成元年)頃、アメリカ合衆国で初めて確認された[3]日本では、1999年平成11年)頃から被害が確認されている[5][6]

対策

[編集]

利用者側では、スキミングフィッシングと異なり被害を防ぐ方法がない[3]。そのため日本貸金業協会では、身に覚えのない請求がないか、クレジットカードの明細書を必ずチェックし、不審な取引があれば、すぐにクレジットカード会社に連絡するように呼び掛けている[3]

ECサイトでは、信用照会手数料の負担を嫌って避けていたオンラインでの信用照会を少額決済でも行ったり、信用照会に名義人の確認をするなど、複数要素でのチェックを行っている[7]。また同一アカウントで短時間に複数回の決済エラーが発生した場合は、一定時間購入処理を停止するなどの対策も取られている。

クレジットカード会社では不正使用検知システムを構築し、短時間で信用照会の失敗が繰り返された場合はそのカードもしくはショップからの信用照会を一定時間拒否したり、一時的にカードの使用を止めたり、即座に顧客に確認の電話連絡をする対策が取られる。またブランド品を扱うショップや換金性の高い高額商品を購入する場合は、販売店・利用者のステータスを見て決済拒否をしたり、海外ECサイトでの決済を拒否するなどの対策も取られている。ショップが犯人によるカード番号・有効期限の確認のための信用照会に悪用されることもあるため、そのショップのすべての信用照会を拒否したり、後日決済が取り消されたり、ECサイトのセキュリティが強化されるまで決済サービスの提供を拒否する、加盟店契約を解除するなどの対策が取られることもある。

なおセキュリティのさらなる強化のため、一部のクレジットカード会社・ECサイトでは本人確認のためのセキュリティコードを導入している。ただセキュリティコードは4桁もしくは3桁の数字であり、仮に3桁だとすると1000通りしか存在しない。そのため、盗み見・フィッシングサイトなどの手段でカード番号・有効期限・名義人が判明している場合、不正使用検知システムで検出されないよう十分に信用照会の間隔をあけたり、複数のECサイトで同時に信用照会を行うなどの工夫をすればセキュリティコードが判明してしまう。またセキュリティコードはクレジットカードに印字されているため、盗み見されるリスクもある。そこで、別途設定したパスワードを入力する必要がある3Dセキュアの導入も進んでいる[8]

脚注

[編集]
  1. ^ a b チャージバックとは?クレジットカードの悪用・不正使用を検知して対策を | 決済代行のゼウス”. www.cardservice.co.jp. 2021年10月27日閲覧。
  2. ^ 「クレジットマスター 初摘発」 『産経新聞』 2009年7月7日付朝刊、産経新聞東京本社、15版、1面。
  3. ^ a b c d 千葉雄高 「「防げぬカード被害」どうする 「クレジットマスター」計算で番号割り出し」 『朝日新聞』 2009年9月10日付朝刊、朝日新聞大阪本社、最終版、17面。
  4. ^ 前島梓,ITmedia「古くて新しいクレジットマスターの手口:日曜日の歴史探検」『ITmedia エンタープライズ』 ITmedia、2009年8月30日
  5. ^ 「カードの規則性悪用 クレジットマスター「防ぎようない」」 『産経新聞』 2009年7月7日付朝刊、産経新聞東京本社、15版、27面。
  6. ^ “番号流出に打つ手なし クレジットマスター”. MSN産経ニュース (産経新聞社). (2009年7月7日). https://web.archive.org/web/20090709030923/http://sankei.jp.msn.com/affairs/crime/090707/crm0907070748010-n1.htm 
  7. ^ 黒木貴啓,ねとらぼ「セキュリティコード間違えたのにクレカ決済できるのはなぜ? ヨドバシECサイトに疑問の声 仕組みを広報に聞く」『ねとらぼ』 ITmedia、2018年12月19日
  8. ^ パスロジ,ITmedia「PayPayも導入した「3Dセキュア」って何? クレジットカード本人認証のハナシ:今さら聞けない「認証」のハナシ」『ITmedia NEWS』 ITmedia、2019年2月7日

関連項目

[編集]

外部リンク

[編集]