クレジットカード決済のリスクマネジメント(下)

2015年5月12日7:00

クレジットカード決済のリスクマネジメント(下)

クレジットカード決済のリスクマネジメント(上)

6. その他主なカード情報不正取得の手口

① スキミング(Skimming)
スキミング(Skimming)は、カード犯罪で多く使われる手口の1つです。磁気カードに書き込まれている情報を抜きCAT等の機械を通じて出したり、スキマーという機器を使って盗み取ったりします。その情報をもとに偽造カードを作り、預金を引き出したり高額の買い物をしたりする犯罪行為です。対策として、カードのIC化が進められています。

② フィッシング (phishing)
フィッシングは、インターネットのWebサイトやeメール等を使った詐欺です。金融機関などのeメールやWebサイトを装って、暗証番号やクレジットカード番号などを詐取します。具体的なフィッシングの手口としては、送信者名を金融機関にしたeメールを無差別に送り、本文には個人情報の入力案内文とWebページへのリンクが記載してあります。リンクをクリックするとその金融機関の正規のWebサイトと同時に、個人情報入力用のポップアップ画面が表示されます。金融機関のWebサイトは正規の画面で、ポップアップは偽物の画面です。正規の画面を見て安心したユーザーがポップアップ画面の入力フォームにクレジットカード番号やパスワードなどの情報を入力し、送信することで、犯人に手に入ることになります。いわゆる「なりすまし」の手口になります。

③ ファーミング(Pharming)
ファーミングとはドメイン名の設定を書き換え、インターネットの閲覧者を偽物のWebサイトに誘導することで、不正に暗証番号やクレジットカード番号などを詐取する方法です。金融機関や有名なWebサイトをそっくりに真似た偽物のWebサイトを作り、DNSサーバの情報を書き換えることでユーザーを誘導します。フィッシング詐欺の手口の1つで、フィッシング詐欺との相違は、自動化されている点です。

通常、WebサイトにアクセスするにはURLを入力します。URLに含まれるドメイン名は、プロバイダーなどが運営するDNSサーバによってIPアドレスに変換されます。そして、そのIPアドレスを持ったサーバにアクセスされることになります。ファーミングを行う犯罪者は、このDNSサーバの管理するドメイン名とIPアドレスの対応表を不正に書き換えることで、ユーザーがURLを入力すると偽物のIPアドレスを返すよう細工するのです。ユーザーは正しい金融機関や有名なWebサイトなどにアクセスしているつもりですが、犯罪者の運用する偽物のサイトに誘導され、不正に情報を詐取されることになります。

④ ソーシャル・エンジニアリング(Social Engineering)
ソーシャル・エンジニアリングとは、人間の心理的な隙や、行動のミスにつけ込んで、物理的手段によって暗証番号やクレジットカード番号を入手する方法のことを言います。

主な例としては、侵入した企業・組織の従業員になりすましてパスワードを聞き出したり、盗み聞きしたりする行為が挙げられます。クレジットカードでは、盗難カードや偽造カードの暗証番号を聞き出し、不正に出金を行う手口等に用いられることがあります。この場合、警察を名乗り、「逮捕した不審者が持っているクレジットカードの確認を行いたい」とのことで暗証番号を聞き出したりしてきます。クレジットカード会社の社員を名乗ったりするケースもあります。

⑤ ビッシング
ビッシングとは、VoIP(Voice over Internet Protocol、インターネット電話)などを利用し、暗証番号やクレジットカード番号といった個人情報を不正に詐取する手口です。犯罪者が、企業や団体を装ってユーザーにeメールを送り、何らかのトラブルがあったと装いユーザーに伝えます。そのトラブルを解決するための問い合わせ先がフリーダイヤルになっています。指定された番号に電話をかけると音声応答システムによって会話の内容などが録音されます。もしくは、電話機のキー入力により暗証番号やクレジットカード番号を入力させ、それを記録するなどのやり方もあります。

7. 意外と知られていない決済代行会社の役割とリスク

決済代行会社は、さまざまな側面を持っています。アクワイアラとの包括加盟店契約により、多くのカード会社と一括して契約を行ったり、本来個々のカード会社とデータでのやり取りが必要なものを、データのスイッチング業務として一括で行ったりします。それ以外にも、個別の料率交渉が不要であったり、入金や明細が一本化して、経理業務が明確になり事務の効率化にもなります。中には、早期に資金を立て替えて送金するサービスもあります。大手決済代行会社のほとんどは、クレジットカード番号を安全に保管するサービスを展開しています。ECサイトなどでは、自動継続課金のサービスなどもあり、うまく使えば、売上を増加させながら、手間が省けるといいこと尽くめと思われます。

① 決済代行会社のリスク
しかしながら、決済代行会社の中には、資金量が潤沢とはいえず運営をしている会社が存在します。この場合、アクワイアラからの着金を確認して、加盟店への支払いを行うのが本来あるべき姿であるのですが、中には自ら立替を行い、資金を融通することで存在意義を見出す決済代行会社が存在したりします。また、決済代行会社は、システムやセキュリティへの先行投資が不可欠です。当然ながら、資金調達がうまくいかなければ、デフォルトする危険性を持っているのです。アクワイアラが包括加盟店契約を行う場合や、加盟店が決済代行会社を選ぶときには、リスクを鑑み選定しなければならないのです。

② 決済代行会社の持つリスク
決済代行会社の中には、海外の銀行系のアクワイアラから包括加盟店契約を締結して、決済業務を行う企業が存在します。日本国内のアクワイアラにおいては、特定継続的役務提供(特定商取引法:長期・継続的な役務〈「えきむ」と読み、いわゆるサービスを意味します〉と、これに対する高額の対価を約する取引のこと。現在、エステティック、語学教室、家庭教師、学習塾、結婚相手紹介サービス、パソコン教室の6つの役務が対象とされている)については、基本クレジットカードの加盟店契約ができません。物販だけの契約等はあるものの、特定継続的役務提供はカード利用できないのが一般的です。ところが、海外では特定継続的役務提供を取り扱うケースがあります。海外のアクワイアラは、契約は簡単にできるがペナルティが厳しいケースなどがあるので、リスクとして考える必要があります。支払抗弁などが発生すると、その理由に関係なく、加盟店取引の解除になるなど、カード加盟店の経営には注意が必要です。

クレジットカード決済の各レイヤーのリスク

クレジットカード決済の各レイヤーのリスク

以上にように、そもそも決済業務は、不正との戦いでもあります。利便性を追求する時、相反してリスクが生まれます。さまざまな新しい技術と、かかわる企業や人がそれぞれの立場で、不正を防止する意識づけが必要なのだと考えています。

大特集「カード決済&セキュリティのすべて」の紹介ページへ

paymentcardsecurity

 

page toppagetop