最近の記事

アーカイブ

もっと見る

フィードを購読

個人情報ニュース

セキュリティコラム

編集雑記

2019年2 月

          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28    

リンク

  • サイト検索
    Loading
  • 受注のご案内
    セキュリティ意識が高い企業や公的機関、コンテンツプロバイダー様の需要にお応えし、デイリーでセキュリティニュースを配信します。 ご要望のテーマに沿ったニュースの編集、コラムの受注も可能です。 サイトに掲載いただくだけでなく会員の方々へのメール配信も可能です。 詳しくは、弊社ホームページよりお問い合わせください。
  • 現代フォーラム
    現代フォーラムHPへ

ブログのURL


このブログのURLをメールで送信

« ◆アドビ、深刻な脆弱性を修正したFlash Playerの最新版公開(2018/04/11) | メイン | ◆個人情報流出相次ぐ――市立学校の全児童生徒情報流出のおそれ(前橋市)ほか(2018/04/13) »

2018/04/12

◆高止まり続くクレカの不正使用被害――クレカ情報盗む3つの手口とその対策(2018/04/12)

 クレジットカードの不正使用被害が深刻な状況にある。日本クレジット協会の発表によると、昨年1年間の被害総額は前年の約1.7倍に膨れあがった。第1四半期に跳ね上がったまま、高止まりが続いている。

 同協会では、クレジットカード発行会社を対象とした不正使用被害の実態調査を行い、四半期ごとにまとめている。カード情報だけで決済するネット上の不正使用が目立つようになった2014年以降は、「偽造カード被害」「その他の被害」というそれまでの分類に、「番号盗用被害」を新たに加えた。この番号盗用被害が、2017年第1四半期に前年度の約1.8倍(40.3億円)に跳ね上がり、その後も前年比約2倍の高止まりを続け、被害額全体を大きく押し上げた。2016年→2017年の年間の被害額は、以下の通り。

 偽造カード被害:30.6億円→31.7億円(+3.6%)
 番号盗用被害 :88.9億円→176.7億円(+98.8)
 その他の被害 :22.5億円→28.0億円(+24.4%)
 被害総額   :142.0億円→236.4億円(+66.5%)

 深刻な状況が続くクレジットカードの不正使用被害を受け、日本サイバー犯罪対策センター(JC3)は3月30日、クレジットカード情報窃取の手口に注意するよう呼びかける注意喚起情報を掲載公開した。

 犯人たちがクレジットカード情報を盗む手口には、実在する企業やサービスを装い偽サイトに誘導して騙し取るフィッシング、通販サイトになりすまし決済を装い騙し取るなりすまし通販サイト(通販詐欺サイト)、カード情報の窃取機能を持つマルウェア(ウイルス)感染、カード情報を扱うWebサイトへの不正アクセスがある。サイトからの流出については、私たちユーザーには防ぎようのない被害だが、ほかは有効な自衛策がある。以下、不正使用被害拡大の背景にある手口と、その対策を解説する。

■フィッシング

 クレジットカード情報を狙うフィッシングは、以前からあるカード会社を装い、会員サイトへの登録変更を促す手口のものが、コンスタントに続いているが、2016年からはアマゾンやアップル、グーグルといった、カードを使用するサービスを標的としたフィッシングが多発するようになった。2017年に入ってからは、ターゲットにマイクロソフトも加わり、これらブランドのフィッシングが繰り返し行われた。グーグルのフィッシングに関しては、仕掛けていた国内のグループが摘発され沈静化したが、他のブランドのフィッシングは、今年に入ってからも続いている。

<騙されない対策>
 メールのリンクをクリックする際には、マウスオーバーや右クリックメニュー、リンクの長押しなどの方法で、見た目のリンクではない本当のリンク先を表示し、公式サイトであることを確認する。Webサイトにログインしたり、個人情報やクレジットカード情報などを入力したりする際には、アドレスバーに錠前マークと正しいURL、または正しい運営者名が表示されていることを確認する。この2つを実行するだけで、フィッシングを防ぐことができる。

■なりすまし通販サイト

 悪質な通販サイトには、堂々と偽物を販売・発送する店もあれば、本物と偽って偽物を発送する店、決済しても商品を発送しない店、決済に見せかけてクレジットカード情報を詐取する店などさまざまなタイプがある。検索サイトで商品を検索すると、こうした悪質な通販サイトの商品が検索結果の上位に表示され、安さにつられて飛びついてしまう人が後を絶たない。今年に入ってからも、カード情報を入力するもエラーで注文が確定できず、そうこうしていたら不正使用されたというようなネットの投稿が散見される。

<騙されない対策>
 カード情報を騙し取るタイプの通販サイトをいくつか調査したところ、運営者は実在する会社を偽装していたが、メールアドレスや電話番号の記載はなく、URLが「https:」で始まる暗号化通信ではなかった。アドレスバーに錠前マークが表示されない状態でのカード情報の入力などあり得ないので、非HTTPS接続の通販サイトは絶対に利用してはいけない。通販サイトの電話番号は必須事項なので、「特定商取引法に基づく表示」などのページに電話番号まで正しく記載されていることを確認する。偽の住所や電話番号を記載しているところもあるので、初めて利用する際には地図サイトで住所を、電話番号の頭に「184」を付けて電話をかけ、実在確認することをお勧めする。

■マルウェア感染

 メールの添付ファイルやリンク先、改ざんされたWebサイトなどから、オンラインバンキングのアカウント情報やクレジットカード情報を盗み取るタイプのマルウェアが多数ばらまかれている。JC3によれば、感染するとセキュリティ対策や本人確認と称して、クレジットカード情報を入力するよう求める画面が表示されるという。カード会社のサイトにアクセスする際などの、絶妙なタイミングで偽の画面が出ると、信じてしまうかもしれないが、いつもと違う画面が表示された際には操作を止め、カード裏面などに記載されているサポートデスク(通常は24時間対応)に問い合わせていただきたい。

<騙されない対策>
 マルウェアは、システムやアプリと同じプログラムで、大半は、ユーザーがそれと知らずに実行してしまうことで感染する。自衛策については、末尾の関連トピックス「危険な「添付ファイル」――感染を防ぐ基本設定、誤開封後の対処法」を参照していただきたい。今年に入ってからも、国内のユーザーあてにマルウェアメールが頻繁にばらまかれている。ボットネットを使って大量にばらまかれる情報窃取型のマルウェアメールと、一部のフィッシングメールについては、JC3の「犯罪被害につながるメール注意喚起」で順次報告されている。同サイトでは、「Gozi」「DreamBot」「Ramnit」に感染していないかを確認する感染チェックサイトの試験運用も行っている。

(2018/04/12 ネットセキュリティニュース)

【関連URL】
<日本クレジット協会>
・クレジットカード不正使用被害の集計結果について(ニュースリリース)[PDF]
https://www.j-credit.or.jp/information/statistics/download/toukei_03_f_180330.pdf
・クレジットカード不正使用被害額の発生状況[PDF]
https://www.j-credit.or.jp/information/statistics/download/toukei_03_g_180330.pdf

<日本サイバー犯罪対策センター>
・クレジットカード情報窃取の手口に注意
https://www.jc3.or.jp/topics/credit_card.html
・犯罪被害につながるメール注意喚起
https://www.jc3.or.jp/topics/virusmail.html
・詐欺サイト等悪質なショッピングサイトに関する注意喚起
https://www.jc3.or.jp/topics/malicious_site.html
・DreamBot・Gozi・Ramnit感染チェックサイト
https://www.jc3.or.jp/info/dgcheck.html

投稿情報: 10:41 |

|