悪のニュース記事

悪のニュース記事では、消費者問題、宗教問題、ネット事件に関する記事を収集しています。関連するニュースを見つけた方は、登録してください。

また、記事に対するコメントや追加情報を投稿することが出来ます。

記事登録
2003年07月31日(木) 21時13分

ここが危ないインターネット クレジットカードの落とし穴Scan

 高度な技術が犯罪やサイバーテロに不可欠なわけではない。パソコンやネットの素人でもちょっとした知識と所定を踏めば簡単に犯罪やサイバーテロを行うことができる。
 このシリーズでは、ほとんど技術をもたない人間でも実行可能な危険性や実例を中心にご紹介する予定である。

 今回は、知っていそうであまり知られていない落とし穴=クレジット決済を考えてみる。


>> クレジット決済に必要な情報はクレジット番号と有効期限だけ

 わが国のクレジット決済は、NTTデータがもつ決済サービスCAFIS( http://www.cafis.jp/ )に接続して決済されているケースが多い。
 ECサイトなどのクレジット決済情報は、CAFISに送信され、CAFIS経由で各クレジット会社に照会、決済される。
 このCAFISが決済の際に必要とする情報は、クレジット番号と有効期限だけである。
 つまり、クレジット番号と有効期限だけで、オンラインでクレジット決済を行うことが可能である。
 多くのECの決済では、クレジット番号と有効期限以外に、氏名、住所、電話番号などを入力することが多いが、これらの情報はクレジット決済上は不要な情報ということになる。


>> キャッシュディスペンサーの周りに落ちている伝票の情報で決済できる

 他人のクレジット番号と有効期限を入手する方法はいたって簡単である。わざわざ個人情報が保管されているサーバをクラッキングするような手間をかける必要はない。
 クレジットカードの利用できるキャッシュディスペンサーの周りには利用伝票の紙くずが落ちていることが多い。この紙くずに記載されているクレジット番号と有効期限のみがあればECサイトのクレジット決済を行うことが可能となる。
 ECサイトで他人のクレジット番号と有効期限を入力し、自分の住所と氏名をいれれば、求める商品を他人のお金で入手することができるようになる。


>> クレジット決済代行業者の予防措置

 現実的には、直接CAFISに決済情報を送信しているECサイトは、それほど多いわけではない。CAFISとの直接の接続を行うためにはシステムの開発が必要であり、それなりにコストがかかる。直接CAFISと接続することが難しいECサイトのために、代行決済業者というものが存在する。代行決済業者は、ECサイトから決済情報を受け取り、ECサイトのかわりにCAFISに接続して決済を実施する。ECサイトから決済業者に決済情報を渡す際には、form文を利用するなどして、WEB制作ができる人間ならば、簡単に決済業者との接続ができるようにしている。

 決済代行業者はさまざまな業者が存在する。最大手といわれるのはソニーファイナンスインターナショナル社であり、年間のクレジット取り扱い高は、900億円程度と見られている。他の大手にはゼウス社などがある。

 CAFIS自体は前述のように、クレジット番号と有効期限しかみていないが、決済代行業者のサービスでは独自に氏名、住所、電話番号などを入力させていることが多い。決済代行業者とクレジット会社の間の契約により、事故=回収不能の債権は決済代行業者がかぶることになっているため、業者自身で与信の精度をあげる工夫をしている。

 与信の精度をあげる方法としては、住所や電話番号の論理チェック(でたらめをはじく)、フリーメールアドレスの排除、過去のブラックリストとのつきあわせなどがあげられる。
 なお、ソニーファイナンスインターナショナルやゼウスのような大手はクレジット会社とダイレクトに接続したり、海外の決済サービスと接続するなどして、CAFIS以外の決済を用いていることも少なくない。ただし、その決済で必要な情報は、やはりクレジット番号と有効期限程度であることが多い。

ソニーファイナンスインターナショナル
http://www1.sonyfinance.co.jp/
ゼウス
http://www.cardservice.co.jp/


>> 決済を行うための自分以外の人間の個人情報の入手方法

 しかし、当たり前であるが、過去にクレジット事故を起こしたことのない実在する個人の情報であれば、これらのチェックでひっかかることはない。実在する個人の氏名、住所、電話番号などは、電話帳を開けば簡単にいくらでも入手できる。クレジット番号とその他の個人情報はひもづけされていないため全く関係ない第三者の個人情報でも決済上問題はない。

 ターゲットとなる相手が特定されている場合(個人的なうらみなど)は、クレジット番号と個人情報を入手するもっとも簡便な方法は、毎月クレジット会社から郵送されてくるクレジット明細書を郵便受けから盗むことである。これは立派な犯罪であるが、実行は容易である。オートロックではないアパートやマンションならカギがかけていなければクレジット会社から郵送物が来る日を選んでターゲットのポストまでゆけばよいし、オートロックであっても開くことは簡単である。オートロックの自動ドアの下の隙間から大きめの紙(A4で十分)をドアの向こうに滑り込ませると、センサーが感知してドアが開く。


>> 個人が自分のクレジットカードを守る方法

 ・クレジットカード番号は取り扱い注意であることを認識する
 ・クレジットカードの伝票は必ずやぶってから捨てる
 ・郵便受けにカギをつける
  特にオートロックだとカギをつけない/あってもかけない人が多い
 ・毎月やってくるクレジット会社の明細を必ずチェックして不信な決済がないかを確認する。

 当たり前のことではあるが、当たり前すぎてやっていない人も多いのではないだろうか? もう一度自分のカード利用を見直してみて欲しい。


>> キャッシュに変える方法は?

 もちろん、せっかくクレジットカードで買い物ができてもキャッシュを入手する方法がなければ意味がないと思う方もいるだろう。
 また、足跡を消さないといけないだろうという疑問もあると思うので、そちらもいずれご紹介する予定である。ちなみに、技術なしでも安全なアクセス方法は足跡を残さない方法よりも、足跡がいくら残っても追跡不能な方法だろうと思うのである。
 その方法と防ぎ方については、後日あらためてご紹介する予定である。

関連資料
辛口コラム集「PrisonerLangley the column vol.01」
https://www.netsecurity.ne.jp/article/10/10589.html


[ Prisoner Langley]





最新のセキュリティ情報メールマガジンの申込みはこちらから
http://vagabond.co.jp/c2/scan/(Scan)

http://headlines.yahoo.co.jp/hl?a=20030731-00000012-vgb-sci

最新のニュース記事一覧
お問い合わせ