クレジットカード決済のリスクマネジメント(下)

2015年5月12日7:00クレジットカード決済のリスクマネジメント(下)クレジットカード決済のリスクマネジメント(上)

6. その他主なカード情報不正取得の手口

① スキミング(Skimming)

スキミング(Skimming)は、カード犯罪で多く使われる手口の1つです。磁気カードに書き込まれている情報を抜きCAT等の機械を通じて出したり、スキマーという機器を使って盗み取ったりします。その情報をもとに偽造カードを作り、預金を引き出したり高額の買い物をしたりする犯罪行為です。対策として、カードのIC化が進められています。

② フィッシング (phishing)
フィッシングは、インターネットのWebサイトやeメール等を使った詐欺です。金融機関などのeメールやWebサイトを装って、暗証番号やクレジットカード番号などを詐取します。具体的なフィッシングの手口としては、送信者名を金融機関にしたeメールを無差別に送り、本文には個人情報の入力案内文とWebページへのリンクが記載してあります。リンクをクリックするとその金融機関の正規のWebサイトと同時に、個人情報入力用のポップアップ画面が表示されます。金融機関のWebサイトは正規の画面で、ポップアップは偽物の画面です。正規の画面を見て安心したユーザーがポップアップ画面の入力フォームにクレジットカード番号やパスワードなどの情報を入力し、送信することで、犯人に手に入ることになります。いわゆる「なりすまし」の手口になります。

③ ファーミング(Pharming)
ファーミングとはドメイン名の設定を書き換え、インターネットの閲覧者を偽物のWebサイトに誘導することで、不正に暗証番号やクレジットカード番号などを詐取する方法です。金融機関や有名なWebサイトをそっくりに真似た偽物のWebサイトを作り、DNSサーバの情報を書き換えることでユーザーを誘導します。フィッシング詐欺の手口の1つで、フィッシング詐欺との相違は、自動化されている点です。

通常、WebサイトにアクセスするにはURLを入力します。URLに含まれるドメイン名は、プロバイダーなどが運営するDNSサーバによってIPアドレスに変換されます。そして、そのIPアドレスを持ったサーバにアクセスされることになります。ファーミングを行う犯罪者は、このDNSサーバの管理するドメイン名とIPアドレスの対応表を不正に書き換えることで、ユーザーがURLを入力すると偽物のIPアドレスを返すよう細工するのです。ユーザーは正しい金融機関や有名なWebサイトなどにアクセスしているつもりですが、犯罪者の運用する偽物のサイトに誘導され、不正に情報を詐取されることになります。

④ ソーシャル・エンジニアリング(Social Engineering)
ソーシャル・エンジニアリングとは、人間の心理的な隙や、行動のミスにつけ込んで、物理的手段によって暗証番号やクレジットカード番号を入手する方法のことを言います。

主な例としては、侵入した企業・組織の従業員になりすましてパスワードを聞き出したり、盗み聞きしたりする行為が挙げられます。クレジットカードでは、盗難カードや偽造カードの暗証番号を聞き出し、不正に出金を行う手口等に用いられることがあります。この場合、警察を名乗り、「逮捕した不審者が持っているクレジットカードの確認を行いたい」とのことで暗証番号を聞き出したりしてきます。クレジットカード会社の社員を名乗ったりするケースもあります。

⑤ ビッシング
ビッシングとは、VoIP(Voice over Internet Protocol、インターネット電話)などを利用し、暗証番号やクレジットカード番号といった個人情報を不正に詐取する手口です。犯罪者が、企業や団体を装ってユーザーにeメールを送り、何らかのトラブルがあったと装いユーザーに伝えます。そのトラブルを解決するための問い合わせ先がフリーダイヤルになっています。指定された番号に電話をかけると音声応答システムによって会話の内容などが録音されます。もしくは、電話機のキー入力により暗証番号やクレジットカード番号を入力させ、それを記録するなどのやり方もあります。

7. 意外と知られていない決済代行会社の役割とリスク

決済代行会社は、さまざまな側面を持っています。アクワイアラとの包括加盟店契約により、多くのカード会社と一括して契約を行ったり、本来個々のカード会社とデータでのやり取りが必要なものを、データのスイッチング業務として一括で行ったりします。それ以外にも、個別の料率交渉が不要であったり、入金や明細が一本化して、経理業務が明確になり事務の効率化にもなります。中には、早期に資金を立て替えて送金するサービスもあります。大手決済代行会社のほとんどは、クレジットカード番号を安全に保管するサービスを展開しています。ECサイトなどでは、自動継続課金のサービスなどもあり、うまく使えば、売上を増加させながら、手間が省けるといいこと尽くめと思われます。

① 決済代行会社のリスク
しかしながら、決済代行会社の中には、資金量が潤沢とはいえず運営をしている会社が存在します。この場合、アクワイアラからの着金を確認して、加盟店への支払いを行うのが本来あるべき姿であるのですが、中には自ら立替を行い、資金を融通することで存在意義を見出す決済代行会社が存在したりします。また、決済代行会社は、システムやセキュリティへの先行投資が不可欠です。当然ながら、資金調達がうまくいかなければ、デフォルトする危険性を持っているのです。アクワイアラが包括加盟店契約を行う場合や、加盟店が決済代行会社を選ぶときには、リスクを鑑み選定しなければならないのです。

② 決済代行会社の持つリスク
決済代行会社の中には、海外の銀行系のアクワイアラから包括加盟店契約を締結して、決済業務を行う企業が存在します。日本国内のアクワイアラにおいては、特定継続的役務提供(特定商取引法:長期・継続的な役務〈「えきむ」と読み、いわゆるサービスを意味します〉と、これに対する高額の対価を約する取引のこと。現在、エステティック、語学教室、家庭教師、学習塾、結婚相手紹介サービス、パソコン教室の6つの役務が対象とされている)については、基本クレジットカードの加盟店契約ができません。物販だけの契約等はあるものの、特定継続的役務提供はカード利用できないのが一般的です。ところが、海外では特定継続的役務提供を取り扱うケースがあります。海外のアクワイアラは、契約は簡単にできるがペナルティが厳しいケースなどがあるので、リスクとして考える必要があります。支払抗弁などが発生すると、その理由に関係なく、加盟店取引の解除になるなど、カード加盟店の経営には注意が必要です。

クレジットカード決済の各レイヤーのリスク
クレジットカード決済の各レイヤーのリスク

以上にように、そもそも決済業務は、不正との戦いでもあります。利便性を追求する時、相反してリスクが生まれます。さまざまな新しい技術と、かかわる企業や人がそれぞれの立場で、不正を防止する意識づけが必要なのだと考えています。

大特集「カード決済&セキュリティのすべて」の紹介ページへ

paymentcardsecurity

 

関連記事

ペイメントニュース最新情報

ポータブル決済端末、オールインワン決済端末、スマート決済端末、新しい決済端末3製品をリリースしました(飛天ジャパン)

国内最大級のクレジットカード情報データベース(アイティーナビ)

「お金の流れを、もっと円(まる)く」決済ゲートウェイ事業のパイオニアとして、強固なシステムでキャッシュレス決済を次のステップへと推進します。(ネットスターズ)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

決済シーンにdelight(ワクワク感)を!PCI P2PE 認定国内実績 No.1の「確かな信頼」を提供します(ルミーズ)
電子マネー、クレジット、QR・バーコード、共通ポイントなど、多数のキャッシュレス決済サービスをワンストップで提供(トランザクション・メディア・ネットワークス)
決済領域を起点に多様なビジネスニーズに応える各種ソリューションを提供(インフキュリオン)
ReD ShieldやSift等の不正検知サービスを提供し、お客様の不正対策を支援(スクデット)
BtoCもBtoBも。クレジットカード決済を導入するならSBIグループのゼウスへ。豊富な実績と高セキュリティなシステムで貴社をサポートいたします。(ゼウス)
TOPPANの決済ソリューションをご紹介(TOPPANデジタル)
多様な業界のニーズに対応した、さまざまなキャッシュレス・決済関連サービスを提供する総合決済プロバイダー(DGフィナンシャルテクノロジー)
決済業務の完全自動化を実現する「Appian」とクレジット基幹プラットフォームを合わせてご紹介!(エクサ)
チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

stera terminalでお店のポイントがつけられる「VALUE GATE」(トリニティ)

Spayd スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

DNPキャッシュレス 決済プラットフォームをご紹介(大日本印刷)

PAGE TOP