サイバー犯罪
クレジットカード情報はどうやって盗まれるのか?
サイバー犯罪者はどのようにインターネット利用者のクレジットカード情報を盗むのでしょうか。その主な手口をまとめてみます。
先月9月29日、日本クレジット協会は 2017年4~6月期におけるクレジットカードの不正使用被害の増加傾向について公表しました。この公表によれば特にカード番号などの情報盗用による被害が増加しており、新聞ではこのような被害増加の背景にはサイバー犯罪によるカード情報の窃取があるものと報じています。サイバー犯罪者はどのようにインターネット利用者のクレジットカード情報を盗むのでしょうか。この機会にその主な手口をまとめてみます。
■サイバー犯罪者がクレジットカード情報を盗む手口
- ネット詐欺:
サイバー犯罪者はインターネット上での様々な詐欺手口を用いて利用者をだまし、クレジットカード情報を詐取します。ネット詐欺には大きく分けて様々な「情報」を狙うものと、直接「金銭」を狙うものがあります。カード情報を狙うネット詐欺の代表は「フィッシング」詐欺です。「フィッシング」は、利用者をだまして正規サイトを偽装する偽サイト(フィッシングサイト)へ誘導し、カード情報などを入力させることで情報を詐取するネット詐欺です。日本で 2004年12月に初の被害事例を警察庁が公表しており、10年以上も前から存在する古典的な手口と言えます。
図1:最近確認されたフィッシングメール例
フィッシングサイトへの誘導方法としては、電子メール(「フィッシングメール」)が主流ですが、Webや掲示板上の書き込み、スマートフォン向けのテキストメッセージ(SMS)、インスタントメッセンジャーや SNSのダイレクトメッセージなど、様々な経路が確認されています。
図2:SMSによるフィッシングメール例
当初から利用者をだますためのフィッシングメール、フィッシングサイトは、金融機関や信販会社を偽装する手口が主流でしたが、現在では Apple、マイクロソフト、Amazon、Google などのインターネットでの有名企業を偽装する手口が多くなっています。例として、フィッシング対策協議会が直近3カ月間(2017年7~9月)に公表した「緊急情報」16件のうち、金融機関・信販会社を偽装するものは2件のみでした。これらの有名企業を偽装する事例では、該当の企業が提供する様々なサービスを利用するためのマルチアカウント(Apple ID、マイクロソフトアカウント、など)に加え、個人の認証のためという名目でクレジットカード情報も入力させる手口が確認されています。
図3:フィッシングサイト上のクレジットカード情報入力画面例
フィッシング以外にもアンケート詐欺、当選詐欺、サポート詐欺などと呼ばれる様々なネット詐欺の手口があり、いずれの手口でもクレジットカード情報は詐取目標の1つとなっているものと言えます。これらの手口では、インターネット上の広告表示に不正サイトへの誘導を紛れ込ませる「不正広告」によって利用者を詐欺サイトへ誘導する手法が多いようです。
図4:アンケート詐欺の誘導表示例、不正広告により一般サイトの閲覧時に誘導されることが多い - 不正プログラム:
サイバー犯罪者はメール経由、Web経由などの拡散手法を用いてインターネット利用者の PCに不正プログラム(マルウェア)を感染させ、クレジットカード情報を盗みます。この場合、感染PC内のファイルを収集し外部へ送信する、キーボードからの入力内容を記録する、ブラウザが保存した認証情報を窃取するなど、不特定の情報を盗むためのマルウェア(情報窃取型マルウェア)が使用される場合があります。この場合、窃取した様々な情報の中にクレジットカード情報も含まれている、ということになります。
より特化した手法でクレジットカード情報を盗む不正プログラムとして、「オンライン銀行詐欺ツール(バンキングトロジャン)」があります。バンキングトロジャンは、最終的に不正送金を目的とし、ネットバンキングの認証情報を盗む不正プログラムです。2012年ころから日本にもバンキングトロジャンの攻撃が本格流入しており、被害も増加しています。現在主流のバンキングトロジャンは感染PC上での Webアクセスを監視し、自身が標的とする Webサイトへのアクセスを確認した際に認証情報やクレジットカード情報の入力を要求する偽画面を表示します。この手法は「Webインジェクション」と呼ばれ、「感染PC上でだけフィッシングサイトを表示する」手口とも言えます。Webインジェクションの場合、フィッシングサイトに誘導された場合とは異なり、アクセスした正規サイトの URLがブラウザ上に表示されますので見破ることは難しいものと言え、そもそも感染されないことが重要です。
図5:バンキングトロジャン「RAMNIT」の「Webインジェクション」で表示するクレジットカード情報詐取のための偽画面例
バンキングトロジャンは、その名称から銀行に代表される金融機関のみが標的と見なされがちですが、同時にクレジットカード情報なども標的にしています。これは、そもそもネットバンキングを行っていない利用者の PCに感染した場合も何らかの利益を得ようとする、国内金融機関の不正送金対策が進み利益を得づらくなっているため他の認証情報にも範囲を拡大している、という2つの側面があるものと考えられます。
図6:バンキングトロジャン「URSNIF」の情報詐取対象サイト種別割合(2017年7月トレンドマイクロ調べ)
- 企業・法人へのサイバー攻撃:
ネット詐欺や不正プログラムによる攻撃は不特定のインターネット利用者を攻撃対象とした「ばらまき型」の攻撃であり、基本的にはネット詐欺を受けた個人、もしくは感染PC の使用者の情報のみが盗まれる手口でした。その一方で、情報を保持する企業に標的を絞ったサイバー攻撃も活発化しています。
企業の保持する情報を狙うサイバー攻撃には大きく分けて、企業の LANに侵入する攻撃、企業が運営する Webサイトなどの公開サーバを侵害する攻撃の2種があります。このうち、企業の LANに侵入する手口によるクレジットカード情報の窃取に関しては、PoSなど決済現場のシステムを狙う攻撃も存在しています。まだ国内企業での被害事例は報告されていませんが、海外のホテルチェーンの決済システムが侵害された結果、日本国内のホテルでも被害が発生した事例が複数報道されています。
また公開サーバの侵害では Webサービス提供サイトやネットショッピングなどの ECサイトを狙った事例が報じられています。2017年上半期(1~6月)の6カ月間に公表された公開サーバへの攻撃による情報漏えい事例31件のうち、漏えい情報にクレジットカード情報が含まれていた事例は10件あり、合わせて60万件以上のクレジットカード情報が漏えいしたとされています。
公開サーバが侵害されてしまう原因としては、サイト上の脆弱性を利用した攻撃によるものとサイト管理者のアカウントを乗っ取るものがあります。
いずれにせよ企業・法人へのサイバー攻撃による被害はカード利用者にとって自身では防ぎようのない被害であり、企業側の管理責任が問われるものと言えます。
インターネット利用者、また企業や法人が持つ情報を狙うサイバー犯罪者は後を絶ちません。中でもクレジットカード情報は標的とされることが多い重要な情報と言えます。今後もサイバー犯罪者の攻撃手口を知りだまされないようにする、適切な対策を施すなどの注意が必要です。
■個人利用者が被害に遭わないためには
サイバー犯罪者はインターネット利用者の金銭や個人情報を狙い、次々と新しい手口を繰り出しています。ネット詐欺についてもマルウェア感染についても、最新手口を知りだまされないようにすることが重要です。有名企業からのセキュリティ警告など偽装し利用者を不正サイトへ誘導したりマルウェアファイルを感染させようとする手口は基本と言えます。ネット上でクレジットカード情報を入力したり、添付ファイルを開いたりする際には、最後にもう一度立ち止まって考える習慣を身につけてください。もちろん、心がけだけでは見抜けない巧妙な手口も増えているため、セキュリティ対策製品を導入して守ることも必要です。
特にフィッシング詐欺の被害に遭わないための心がけや被害に遭ってしまった場合の対処に関しては以下のブログ記事にまとめておりますので参考にしてください:
企業や法人から情報が流出した場合、個人利用者ができることはほとんどありませんが、二次被害に遭わないよう注意すべきです。情報が流出したサービスや ECサイトと同じパスワードを他のサイトでも使いまわしていた場合、不正ログインの被害を受ける可能性があります。自身が使用している ECサイトなどのパスワードについて、使いまわしが無いか直ちに見直してください。自身ではパスワード管理が難しい場合、パスワード管理ソフトなどを利用する手段もあります。
■トレンドマイクロの対策
- 個人利用者向け:
クレジットカード情報を詐取するバンキングトロジャンなどのマルウェアは「ファイルレピュテーション(FRS)」技術により検出を行います。また、挙動監視機能(不正変更監視機能)の強化とクロスジェネレーション(XGen)セキュリティアプローチにより、高い検出率と誤検出/過検出の回避を両立しつつ、侵入時点で検出未対応の不正プログラムであっても検知可能です。
フィッシングサイトへ誘導するフィッシングメールやマルウェアを拡散させるマルウェアスパムなどの危険なメールは「E-mailレピュテーション(ERS)」技術で受信前にブロックします。
上記の技術はすべて「ウイルスバスター クラウド」に導入されており、複数の技術による多層防御を実現しています。 - 企業向け:
LAN内への侵入のうち、PoSシステムの侵害については特定用途化(ロックダウン)対策が有効です。「Trend Micro Safe Lock」はロックダウンにより、未許可または未知のアプリケーションおよびプロセスの実行を防ぎます。
運用の都合などにより脆弱性のアップデートが速やかに行えないサーバについては、サーバ向け総合セキュリティ製品「Trend Micro Deep Security™」、ネットワークセキュリティ対策製品「TippingPoint」によりネットワーク経由の脆弱性攻撃からサーバを保護することが可能です。また「Trend Micro Deep Security™」はホスト型IDS/IPSとして機能すると同時にサーバの変更監視やセキュリティログ監視によってサーバの侵害に早期に気づく対策も提供します。