世界を変える「ペイメントテック」 (5) 狙われる「ブランドプリペイドカード」

牧野武文

January 18, 2017 08:30
by 牧野武文

Visa、MasterCard、JCBなど国際ブランドの支払の決済カードは3種類ある。ひとつは「クレジットカード」。もう一つは「デビットカード」で、クレジットカードの後払い方式に対して、あらかじめ登録した銀行口座から即時に引き落とす決済形態である。海外では与信で買い物するクレジットカードよりもデビットカードの方が主流といわれている。発行枚数50億枚を超えるといわれている銀聯カードも大半がデビットカードだ。ただし、ここでいうデビットカードは、従来から日本にある「J-Debit」とは仕組みが異なり、ブランドデビットと呼ばれている。クレジットカードと同じ16桁の国際ブランドの番号帯を使用しているため、通常のカード加盟店で使用が可能で、対応加盟店が少ない従来型は普及を押されがちだ。

そしてもう一つが、最近急速に発行枚数を増やしている「ブランドプリペイドカード」である。Suicaや楽天Edyなどの電子マネーと同様に事前に一定額をチャージをするが、通常のVisa、MasterCard、JCBなどの加盟店でクレジットカード同様に使用できる。「au WALLET」や「ソフトバンクカード」など、ここ数年数多くリリースされている。ローソンのポイントと提携して発行しているJCBブランドプリペイドカード「おさいふPonta」はローソンの店頭やクレジットカードからチャージができて、国内のJCB加盟店(ガソリンスタンドなど特定の加盟店を除く)であれば使うことができる。ネットショッピングでも同じく、海外のサイトでも利用可能である。使い勝手はクレジットカードと同等で、カード内残高=ショッピング枠のクレジットカードと考えると理解しやすいだろう。

「おさいふPonta」を使ってネット決済する場合、クレジットカード番号と同じ構造を持ったおさいふPontaカード番号(会員番号とは別)、有効期限、カード名義人氏名として「OSAIFUPONTA MEMBER」、裏面のセキュリティコードを入力する必要がある。万が一、利用したECサイトのサーバーからカード情報が流出すれば、残高の範囲内ではあるが不正使用の被害にあう可能性は充分にあり得る。カード犯罪の構造もまったくクレジットカードと同じである。

犯罪者に悪用される危険性

「おさいふPontaはしっかりと対策をしているはずですが、本人確認が甘い決済カードが不用意に拡大すると、セキュリティ上、大きな問題が起きるのではないかと危惧しています」fjコンサルティング瀬田陽介氏は言う。なぜなら、ブランドプリペイドカードは、前述の通り国際ブランドが使用する16桁のカード番号が印字されている。これは一般のブランドデビットカードと同じであり、エンボス加工されていない(インプリンタの加盟店では使用できない)点を除いてはクレジットカードとも同じである。加盟店からすれば国際ブランドマークが付いていれば、実際のところクレジット、デビット、プリペイドを区分をしていない。それでありながら、審査不要、本人確認不要、券面に氏名もない匿名クレジットカードとして利用できてしまうことが問題として挙げられる。ちなみにおさいふPontaのWebサイトでは個人情報の登録を促されるが、ポイント付与に必要なだけで、登録しなくても決済をすることが可能だ。

「ブランドプリペイドは、発展途上国で銀行口座を持っていない人でもVisaやMasterCardを利用することを可能にするために作られたものです。実際にアフリカでは年金など社会保障を振込するために政府がブランドプリペイドカードを配布している国もあります」(瀬田氏)。治安の悪さ、マネーロンダリングや脱税防止の観点からも、振込んだ年金をそのままカードで使用してもらう方が国民にとっても為政者のとっても好ましい。またプリペイドカードは、国際ブランドにとっても先進国で飽和したクレジットカード市場を拡大していくために重要な戦略である。「学生や未成年はクレジットカードが原則もてません。そういった層にもブランドプリペイドカードは与信審査なく発行することが可能です。国内では、カード離れしている若い世代を取りこむ戦略であることは理解できます。しかし、本人確認をほとんどせずにクレジットカードやデビットカードとほぼ同じ機能を持つカードを配布することにより、新たなカード犯罪の温床になる可能性があります」(瀬田氏)

おさいふPontaでは残高上限は10万円で、1回のチャージ上限は3万円。とくにクレジットカードからのチャージでは上限1万円で、1日3回まで。月間チャージ総額も10万円までと制限は設けている。しかし、瀬田氏はこう言う。「このようなプリペイドカードがコンビニの店頭から大量に手に入り、本人登録もせずに利用できることから、犯罪集団は偽造カードを作成したり、海外から持ち込んだりする必要が少なくなりました」。かつて偽造カード全盛の時代は、店頭で疑われないように非常に精巧な偽造カードを海外から大量に持ち込んでいた。それらは関税法によって税関職員は持ち込み時点で逮捕できていた。しかし正規のブランドプリペイドカードが大量に持ち込みされた場合は、現行法で逮捕できない。不正使用の手口はこうだ。ハッキングなどで不正入手したカード情報を使って、ブランドプリペイドカードに残高をチャージする。違法なカード情報でチャージしたものであっても、プリペイドカードは正規のものなので、偽造カードと違い店舗では堂々と不正使用することができる。ある意味のマネーロンダリングである。

おさいふPontaはローソンで無料配布されており、誰でも手に入れることができる

磁気ストライプカードが増加する?

実際におさいふPontaは、2016年にクレジットカードによるチャージを一時中断し、3Dセキュアによる本人認証を導入した上で2016年6月に再開した経緯がある。理由は定かではないが、おそらく上記の不正使用が拡大したためであろう。再開の際には海外発行カードからのチャージもできなくなっていることから、海外で流失したカード情報を使用して不正にチャージされたと推察する。一方au WALLETやソフトバンクカードはもともと携帯電話の利用者にオプションとして配布しているため、カード発行時点での本人確認は、おさいふPontaより確実にしているといえる。そのためなのか現在のところ残高チャージの際に3Dセキュアまでは本人認証を要求していない。

「現在のカード犯罪は、高度に分業化されています。多くの専門知識や高い技術をもったテロ組織と特殊暴力団が結びつき、活動資金のためにカード不正使用犯罪に関わっていることが顕在化しています」(瀬田氏)

2016年5月や11月に発生した大規模なATMの不正現金引き出し事件同様、ブランドプリペイドカードの不正使用も分業され、大規模な犯罪になりかねない。カード偽造対策の一環として、日本政府は2020年までに100%のICカード化を目標として掲げている。しかし現在発行されているブランドプリペイドカードはすべて磁気ストライプベースで、その指針にも逆行しているといえる。クレジットカードやデビットカードと比較し、偽造カードの作成は容易であると推測する。一方想定利用額が他の2タイプよりも明らかに低いため、全てのブランドプリペイドカードにICチップを搭載することが、発行カード会社の採算として合うどうかすら不明である。ブランドプリペイドカードが対面取引の不正使用の温床にならないためにも本人確認の強化とICカード化を進めていく必要がある。

BugBounty.jp

必要な情報を収集・分析脅威リサーチ

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

公衆無線LANを悪用した暗号通貨マイニング術

January 19, 2018 08:00

by Zeljka Zorz

何も疑っていないユーザーのマシンを使って密かに暗号通貨のマイニングをさせることは、暗号通貨オーナーにとっての夢のような話だ。そして彼らの一部は、倫理的配慮を考えずにその夢の実現に取り組んでいる。 一般的に用いられる2つのアプローチは、コンピューターやウェブサイトを危殆化し、マイニングのソフトウェアを…

ベトナム政府が背後にいる!? ハッカー集団「APT32」の暗躍

January 15, 2018 08:10

by 牧野武文

アジア圏で暗躍するハッカー集団がいる。「APT32」あるいは「オーシャンロータス」(Ocean Lotus Group)と呼ばれる組織だ。どちらの名前も、観測をした研究者が命名したものであり、正式名称は不明だ。米セキュリティ企業ボレシティ(Volexity)は、ブログでこのオーシャンロータスが、ベト…

国内の言論統制が目的か? ベトナム人民軍のサイバー部隊「Force 47」(後編)

January 12, 2018 08:00

by 江添 佳代子

近年のベトナムとFacebook 前編でお伝えしたとおり、オンラインでの自由な発言を国民に許可していないベトナムは、中国やトルコなどの国とたびたび比較されてきた。しかし、これらの国々の中では比較的「ブロックが手ぬるいほう」だったと言えるかもしれない。 たとえばベトナムは2009年頃からFaceboo…