カーディング詐欺を理解する：オンラインストア運営者のための総合ガイド

スポンサードサーチ

カーディングとは、クレジットカード詐欺の一種であり、カード詐欺師（またはクレジットカード窃盗犯）が盗難カードを使ってブランドギフトカードを購入したり、高額商品を購入したり、プリペイドカードにチャージしたりする行為を指します。

これは「クレジットカード・スタッフィング（詰め込み）」とも呼ばれています。従来の物理的なクレジットカード盗難とは異なり、カーディングは必ずしも物理的なカードを盗む必要はなく、デジタル情報だけで実行されるのが特徴です。多くの場合、攻撃者はデータ漏洩やダークウェブで売買された盗難カード情報さえあれば、犯行に及ぶことができます。

残念ながら、米国は他国がデビットカードやクレジットカードの利用者を保護するために採用しているようなICチップと暗証番号（PIN）技術の普及が遅れているため、カード詐欺の主要な標的となっています。実際、2020年から2021年にかけて、世界中でカード詐欺が10%以上増加し、米国の加盟店とカード所有者だけで120億ドルの損失が発生しました。2023年から2028年の間に、世界の加盟店は3,620億ドル以上の損失を被ると予想されています。

この記事では、カード詐欺攻撃の仕組み、現在使用されている主な手法、そしてそしてEC事業者がそれらに対抗するための具体的な対策について解説していきます。

今回は、CS-Cartの公式ブログの記事から Understanding Carding: A Comprehensive Guide for Online Store Owners（カーディング詐欺を理解する：オンラインストア運営者のための総合ガイド）をご紹介します。

それでは、詳しく見ていきましょう。

カード攻撃の仕組み

カーディングの仕組みを理解するために、攻撃者が典型的な攻撃をどのように実行するかを見てみましょう。

カーディング攻撃は、通常、小売業者の決済代行業者を通じてオンラインで実行される、ECにおける重大なセキュリティ脅威です。サイバー犯罪者は、小売業者のオンラインクレジットカード処理業者にハッキングを行い、最近使用されたすべてのデビットカードとクレジットカードのリストを入手します。

また、大手小売業者や決済代行業者のデータ漏洩を利用して、大量の盗難カード情報を入手するカーディング業者も存在します。中には、毎日数千枚の不正カードが取引されているカーディングショップから盗難データを購入するだけの業者もいます。

ただし、これが盗まれたクレジットカード情報にアクセスする唯一の方法というわけではありません。どのような方法で情報を取得するにせよ、彼らはボット（インターネット上で自動的な仕事を実行するために作られたソフトウェア）を使って、そのクレジットカード情報が有効かどうかを判断します。多くの場合、盗まれた大量のカード情報をテストするためにブルートフォース攻撃（総当たり攻撃）が用いられます。

カードが有効であることが証明されると、それはさらなる違法な活動に利用されます。例えば、ECサイトのブランドギフトカードやプリペイドカードを購入し、転売したり現金引き出しに利用したりします。こうした悪質な人物は、プリペイドギフトカードを自ら売却したり、追跡が困難な不正購入に利用したりすることさえあります。

カード詐欺師の中には、カード詐欺フォーラムやその他の犯罪市場で、検証済みのカード情報をすべて犯罪組織に売却する者もいます。

実際、2022年にはダークウェブ上のクレジットカードデータは135%も急増しました。クレジットカード情報以外にも、これらのフォーラムでは様々な価値あるデジタル資産が売買されており、その多くは個人情報窃盗に利用される可能性があります。詐欺師は、PayPal、Uber、Netflixなどの様々なサービスから不正に取得したアカウントを売買することもあります。さらに、商品やサービスと交換できるポイントカードのポイントを盗み出すことも頻繁に行われており、これらのダークネット市場における違法行為の範囲をさらに広げています。

残念ながら、カード所有者は、盗まれた資金がすべて使用されるか、別の口座に移されるまで、不正請求に気付かないことがほとんどです。この時点では、お金を取り戻すのは通常、手遅れと言わざるを得ません。

問題は、カーディングがカード所有者にとって不利益なだけでなく、加盟店にとっても大きな痛手となる点です。購入に異議申し立てがあった場合、加盟店はチャージバックを余儀なくされる可能性があります。つまり、オンラインでの取引を取り消し、クレジットカードやデビットカード所有者の口座に返金しなければならないということです。

さらに加盟店は、サービス契約の一環としてカード決済取消手数料という形で追加の経済的負担を負うリスクもあります。

また、決済処理業者が問題解決まで取引をブロックした場合、正当なオンライン購入による収益機会を失う可能性も否定できません。不正に購入された商品の回収も困難です。そして何より修復が難しいのは、ブランドの評判が失墜してしまうことでしょう。

最もよく使われるカード攻撃テクニック

オンラインでクレジットカード情報を盗み、検証するために用いられるカーディング手法はいくつか存在します。ハッカーが決済カードデータにアクセスする方法について、さらに詳しく見ていきましょう。

1 クレジットカードスキミング【技術面】

クレジットカードスキミングは、犯罪者がATM、ガソリンスタンド、またはPOSシステムに類似の不正機器を設置することで発生します。この機器は、磁気ストライプのコード、カード番号、有効期限、および暗証番号を記録します。

犯罪者はBluetoothを使ってカード情報を自分のデバイスに転送するため、元の機器に直接触れることはほとんどありません。こうした攻撃は多くの場合、販売時点（POS）で発生し、何も知らないお客様がスキマーに気づかずにカードをスワイプしたり挿入したりすることで被害に遭います。

2023年上半期だけでも、12万枚のカードと3,000の金融機関がカードスキミング攻撃の影響を受けました。これは前年比で77%という驚異的な増加です。

2 ソーシャルエンジニアリング【心理面】

ソーシャルエンジニアリングとは、クレジットカード情報などの機密情報を聞き出し、犯罪目的に利用するために人を操る手法を指します。

盗まれた情報は、被害者のコンピュータシステムへのアクセスや個人番号などの機密データの窃盗にも利用され、個人情報窃盗につながる恐れがあります。

フィッシング、ヴィッシング、スミッシング、ファーミングはすべてソーシャルエンジニアリング攻撃の一種です。

• フィッシング詐欺：サイバー犯罪者が実在の有名企業を装ってメールを送信し、銀行口座情報やクレジットカード情報、パスワードなどを入力させる手法です。
• ヴィッシングとスミッシング：フィッシングと同様ですが、ヴィッシングは「電話」を、スミッシングはSMSを利用します。通常、SMSには悪意のあるリンクが含まれており、何も知らない被害者がそのリンクをクリックすると偽サイトへ誘導されたり、マルウェアをダウンロードさせられたりします。
• ファーミング：Webサイトのトラフィックを別の偽サイトにリダイレクトし、重要な情報を入力させる手法です。

ソーシャルエンジニアリングはサイバー攻撃の98%を占めています。

FBIの報告によると、2021年のフィッシング、ヴィッシング、スミッシング、ファーミングの被害者数は32万人を超え、過去最多を記録しました。

また、古典的な手法として、公共の場で誰かが暗証番号やカード情報を入力するのを背後から盗み見るショルダーサーフィンも依然として存在します。

3 マルウェア【技術面】

マルウェアとは、コンピュータシステムに損害を与えたり、クレジットカード番号やログイン認証情報などの機密データに不正アクセスしたりするために作成された悪意のあるソフトウェアです。こうした侵害により、被害者が気付かないうちに、盗まれたカードデータを使用して不正な請求が行われることがよくあります。

トロイの木馬、ワーム、ランサムウェア、スパイウェア、アドウェアなどがその例です。

デバイスが侵害されている可能性がある場合は、金融取引が一般的になっているモバイル端末では、スパイウェアやマルウェアがないか定期的に確認することが非常に重要です。マルウェアは、カード詐欺だけでなく、個人情報窃盗やアカウント乗っ取りなどの温床となります。

多くの場合、マルウェアは .doc や .exe ファイルなどのトロイの木馬として、何らかのソーシャルエンジニアリング手法を用いて拡散されます。マルウェア攻撃の件数は年々増加しており、2022年には世界で55億件もの攻撃が発生し、前年比2%増加しました。

ご覧のとおり、サイバー犯罪者は上記の戦術を組み合わせてクレジットカード情報を入手し、カーディング攻撃に利用します。

そのため、カード所有者は最善の保護策として、これらの戦略を理解し、サイバーセキュリティのベストプラクティスを実践し、それらを防止または対抗する必要があります。例えば、疑わしいリンクはクリックしないようにしましょう。また、送られてきたメッセージの真正性を確認するためにも、クレジットカード保護サービスを利用しましょう。カードに関連する不正行為を警告してくれるクレジットカード保護サービスを利用するのも良いでしょう。

さらに、 Webアプリケーションを保護するためのベストプラクティスを常に把握しておくことで、企業とユーザーの両方にとって、より安全なオンライン環境を構築し、不正利用のリスクを軽減することができます。

EC事業者の皆様も、自らの役割を果たすべきです。

ハッカーがお客様のクレジットカード情報などの機密情報を入手するために悪用する可能性のある、自社サイトの脆弱性を特定しなければなりません。ハッカーは、これらの脆弱性を特定するために、AIチャットボットをハッキング目的で利用するかもしれません。

これらのリスクが特定されると、企業は多くの場合、マネージド・サービス・プロバイダー（MSP）に依頼します。MSPは、MSP向けPSAソリューションなどの集中管理ツールを用いて、セキュリティ運用の監視、インシデント管理、複数のクライアント環境にわたる保護対策の調整を行います。

リスクが特定されたら、必要な調整を行ったり、適切なサイバーセキュリティソリューションを導入したりすることで、お客様がカーディング攻撃の被害に遭わないよう防いでいきましょう。セキュリティが脆弱だと、サイバー犯罪者が大規模プラットフォームと小規模オンラインストアの両方を標的としたカーディング攻撃を意図せず助長してしまう可能性があります。マルウェアが決済データの収集に利用されると、複数のプラットフォームにわたる広範な詐欺行為や金銭的損失に瞬く間につながりかねません。

カード詐欺に対抗するために企業が実施すべき対策

犯罪者の手口が巧妙化するにつれ、お客様の機密データを保護し、詐欺リスクを軽減するための強力なセキュリティ対策の導入が不可欠となっています。そこで、企業がカード詐欺対策として実施している、皆様のECサイトでも導入可能な対策をご紹介します。

1 住所検証サービス（AVS）【セキュリティ面】

AVSシステムは、注文手続き時に提供された請求先住所と、カード発行会社の記録にある住所を照合します。

• 完全一致
• 郵便番号一致
• 住所一致
• 一致なし

詳細が一致しない場合、取引は不正の疑いがあるとして直ちに拒否されます。AVSシステムでは、一部一致の場合に拒否するかどうかを加盟店の裁量に委ねる場合があります。 ただし、AVSは主に米国や英国などの特定の国々で機能するサービスである点に注意が必要です。

2 カード検証値（CVV）チェック【セキュリティ面】

CVVは、クレジットカードまたはデビットカードの裏面に記載された3桁または4桁のコードです。

購入を希望するお客様がカードを実際に所持していることを確認するために、注文手続き時にこのコードの入力を求めることは非常に有効です。これにより、カード詐欺師が犯罪マーケットプレイスやダークウェブで入手したクレジットカードカード番号を不正利用することを食い止めることができます。

3 位置情報追跡【セキュリティ面】

位置情報追跡は、GPS技術やIPアドレスを活用してユーザーの位置を特定し、カード所有者が通常使用している場所と照合します。一部の高度な位置情報追跡システムでは、端末の種類、取引履歴、時間帯まで確認し、不正使用を示唆する異常なパターンを検出します。

ジオトラッカーは、プロキシIPを使用してサイトにアクセスしているユーザーを特定することもできます。 優れた無料プロキシプロバイダーは、 ユーザーが実際には全く別の場所からサイトにアクセスしているように見せかけるのに役立ちます。 

カード所有者本人が旅行中である可能性もありますが、位置情報の不一致は重要なシグナルです。カード情報が適切な人物に渡っていることを確認するために、疑わしい場合は、本人しか知らない質問を追加するなど、追加の認証ステップを設けることを検討しましょう。

また、最適な住宅プロキシを使用して位置情報を照合できる人もいることにご注意ください。

4 キャプチャ（CAPTCHA）【セキュリティ面】

CAPTCHAは、Webサイトのユーザーが人間であることを確認し、ボットを阻止するためのテストです。

CAPTCHAは、画像の中から特定の物体（信号機や自転車など）を選択させるテストは、人間には簡単ですが、ボットには極めて困難です。これは、ボットによる大量のパスワード試行や、盗難カード番号のテストをブロックするのに非常に効果的です。CAPTCHAは、盗難クレジットカード番号のテストなど、犯罪者が自動化された金融詐欺によく使用するボットをブロックするのに役立ちます。

Google reCAPTCHAなどを導入することで、サイトの安全性を高めることができます。

これらの対策に加え、企業はITチームとセキュリティチームのサイバーセキュリティ教育に投資することもできます。サイバーセキュリティ認定資格を取得することで、カード詐欺事件への効果的な対応が可能になります。

5 多要素認証（MFA）【セキュリティ面】

多要素認証は、ユーザーにパスワードに加えてSMSやメール、認証アプリで送信される一時的なコードなどの複数の方法による確認を求めることで、セキュリティを大幅に強化します。

これにより、たとえログイン情報が盗まれたとしても、カード詐欺師がお客様のアカウントにアクセスすることを困難にします。

最後に

ウェブカーディング詐欺は、今や避けて通れない深刻な問題です。

詐欺師はボットを駆使して盗難情報の有効性を検証し、巧妙に違法行為を繰り返します。この種の詐欺は、カード詐欺師（またはクレジットカード窃盗犯）がユーザーのクレジットカード情報を入手、またはダークウェブで盗難クレジットカード情報を購入し、ボットを使ってその情報の有効性を検証した後、そのカードを違法行為に利用することで発生します。

EC事業者の皆様は、こうした攻撃から自社とお客様を守る必要があります。住所検証サービス（AVS）、CVVチェック、位置情報追跡、CAPTCHAといった対策を組み合わせて導入していきましょう。AVSの利用も検討できますが、利用できる国は限られています。

適切なセキュリティ対策を講じることは、単なる防御ではありません。お客様のデータを安全に守る姿勢を示すことで、ビジネスの成長に不可欠な「信頼」と「信用」を築き上げることにつながるのです。

今回の内容を踏まえて、貴社のECサイトのセキュリティ設定を一度見直してみてはいかがでしょうか。具体的な対策の導入について、お手伝いできることがあればいつでもお知らせください。

スポンサードサーチ