盗まれたクレジットカードデータは、ダークウェブで常に人気商品となっており、特にカード番号だけでなく有効期限やCVVコードも含まれている場合は、その傾向が顕著です。不正行為の取り締まり強化のため、カード会社は以前から、ストライプのみのカードから、暗号化によって取引の安全性を確保するだけでなく、複製もより困難なセキュリティチップを内蔵したカードへと移行してきました。サイバーインテリジェンスプロバイダーのCybersixgillによる最近のレポートでは、ダークウェブにおけるクレジットカード詐欺の現状について分析しています。
ダークウェブ上のクレジットカードに関する事実と数字
Cybersixgillは、「2022年上半期の闇金融詐欺レポート」の中で、2022年上半期に450万枚以上の盗難決済カードがダークウェブ上で販売されていたことを明らかにしました。この数字は、2021年下半期に発見された1,400万枚以上のカードから68%の大幅な減少となっていますが、それでも依然として相当な詐欺行為が行われていることを示しています。
闇市場で販売されているカードのほぼ半分(45%)は米国で発行されたものです。その理由の一つとして考えられるのは、米国には10億枚以上のクレジットカードが存在することです。エクスペリアンによると、米国の消費者は平均4枚のクレジットカードを所有しているのに対し、EU加盟国の市民は1~2枚のカードを所有しています。
しかし、もう一つの要因として、EMVカード、つまりICチップカードの影響が考えられます。セキュリティチップが組み込まれたこれらのカードは、磁気ストライプのみのカードよりも、盗難や不正利用から消費者をより効果的に保護します。Cybersixgillが引用した調査によると、ヨーロッパ諸国はアメリカよりも早くEMVの波に乗ったため、クレジットカード詐欺の被害が少ないことが示されています。
一方、ロシアのクレジットカードはダークウェブ上ではあまり一般的ではなく、2022年上半期に販売されたカードは約5,400枚にとどまっている。サイバーシックスギル氏によると、その理由は、ロシアで活動するサイバー犯罪者は、ロシア国民が標的にされない限り、クレムリンからの大きな反対を受けずに活動することが多いためだという。
参照: モバイルデバイスのセキュリティポリシー(TechRepublic Premium
サイバー犯罪者は、クレジットカード情報を入手するためにいくつかの戦術を駆使します。データ侵害やフィッシング攻撃によってeコマースサイトを標的にし、必要なデータを盗み出す者もいます。また、ATM、販売端末、ガソリンスタンドの給油機にスキマーを物理的に設置する者もいます。窃取したクレジットカード情報は、通常、ダークウェブで売却され、他の犯罪者が購入して詐欺に利用します。
今年上半期にダークウェブで確認された盗難クレジットカードのほとんどは、4大ネットワークによって発行されたものでした。そのうち、約49%がVisaカード、36%がMastercard、13%がAmerican Express、2.5%がDiscoverカードでした。CVV番号またはCVV2番号付きで販売されるカードは、磁気ストライプの情報からCVVデータを除いた電子コピーであるダンプカードよりも収益性が高く、ダークウェブでより多く販売されています。さらに、CVV番号付きの盗難カードには、ユーザーの住所、メールアドレス、その他の機密情報が含まれている可能性があり、これらはなりすましやアカウント乗っ取りに悪用される可能性があります。
サイバーシックスギルは報告書の中で、「法執行機関、クレジットカード会社、銀行、小売業者によるセキュリティ強化の継続的な取り組みにもかかわらず、詐欺師はスキルと技術を適応・進化させ、仮想および物理的に使用されているカードから機密の支払い認証情報を盗み出す新たな方法を見つけ出すことが予想される」と述べている。
クレジットカードがダークウェブに流出しないための方法
消費者と企業がクレジットカード詐欺を削減できるよう、Cybersixgill はいくつかのヒントを提供しています。
銀行口座を監視する
金融口座をスキャンして、不審な取引やログイン試行がないか確認してください。多くの銀行では、口座で不審なアクティビティが検出された場合、テキストメッセージまたはメールで通知を送信します。
発送確認メールに注意してください
ご注文または商品の発送確認を謳うメールを受け取った場合は、メールに直接返信せず、関連するウェブサイトに直接サインインして注文状況をご確認ください。
参照:パスワード侵害:ポップカルチャーとパスワードが混ざらない理由(無料PDF)(TechRepublic)
パスワードを再利用しないでください
複数のウェブサイトやサービスで同じパスワードを使い回すのは避けましょう。パスワードマネージャーを使って、アカウントごとに複雑で固有のパスワードを作成しましょう。さらに、多要素認証を有効にすることで、アカウントのセキュリティをさらに強化できます。
クーポンやプロモーションに注目
テキストメッセージやメールで送られてきたクーポンやプロモーションのオファーにはご注意ください。その後は、メッセージ内のリンクではなく、関連するウェブサイトでこれらのオファーを探してください。
小売業者は、チップ対応のPOSシステムを導入する
これらのシステムは、顧客のクレジットカードデータをより適切に保護します。ICチップを搭載したクレジットカードは、犯罪者が複製して使用することがはるかに困難です。
