世界を変える「ペイメントテック」 (5) 狙われる「ブランドプリペイドカード」

牧野武文

January 18, 2017 08:30
by 牧野武文

Visa、MasterCard、JCBなど国際ブランドの支払の決済カードは3種類ある。ひとつは「クレジットカード」。もう一つは「デビットカード」で、クレジットカードの後払い方式に対して、あらかじめ登録した銀行口座から即時に引き落とす決済形態である。海外では与信で買い物するクレジットカードよりもデビットカードの方が主流といわれている。発行枚数50億枚を超えるといわれている銀聯カードも大半がデビットカードだ。ただし、ここでいうデビットカードは、従来から日本にある「J-Debit」とは仕組みが異なり、ブランドデビットと呼ばれている。クレジットカードと同じ16桁の国際ブランドの番号帯を使用しているため、通常のカード加盟店で使用が可能で、対応加盟店が少ない従来型は普及を押されがちだ。

そしてもう一つが、最近急速に発行枚数を増やしている「ブランドプリペイドカード」である。Suicaや楽天Edyなどの電子マネーと同様に事前に一定額をチャージをするが、通常のVisa、MasterCard、JCBなどの加盟店でクレジットカード同様に使用できる。「au WALLET」や「ソフトバンクカード」など、ここ数年数多くリリースされている。ローソンのポイントと提携して発行しているJCBブランドプリペイドカード「おさいふPonta」はローソンの店頭やクレジットカードからチャージができて、国内のJCB加盟店(ガソリンスタンドなど特定の加盟店を除く)であれば使うことができる。ネットショッピングでも同じく、海外のサイトでも利用可能である。使い勝手はクレジットカードと同等で、カード内残高=ショッピング枠のクレジットカードと考えると理解しやすいだろう。

「おさいふPonta」を使ってネット決済する場合、クレジットカード番号と同じ構造を持ったおさいふPontaカード番号(会員番号とは別)、有効期限、カード名義人氏名として「OSAIFUPONTA MEMBER」、裏面のセキュリティコードを入力する必要がある。万が一、利用したECサイトのサーバーからカード情報が流出すれば、残高の範囲内ではあるが不正使用の被害にあう可能性は充分にあり得る。カード犯罪の構造もまったくクレジットカードと同じである。

犯罪者に悪用される危険性

「おさいふPontaはしっかりと対策をしているはずですが、本人確認が甘い決済カードが不用意に拡大すると、セキュリティ上、大きな問題が起きるのではないかと危惧しています」fjコンサルティング瀬田陽介氏は言う。なぜなら、ブランドプリペイドカードは、前述の通り国際ブランドが使用する16桁のカード番号が印字されている。これは一般のブランドデビットカードと同じであり、エンボス加工されていない(インプリンタの加盟店では使用できない)点を除いてはクレジットカードとも同じである。加盟店からすれば国際ブランドマークが付いていれば、実際のところクレジット、デビット、プリペイドを区分をしていない。それでありながら、審査不要、本人確認不要、券面に氏名もない匿名クレジットカードとして利用できてしまうことが問題として挙げられる。ちなみにおさいふPontaのWebサイトでは個人情報の登録を促されるが、ポイント付与に必要なだけで、登録しなくても決済をすることが可能だ。

「ブランドプリペイドは、発展途上国で銀行口座を持っていない人でもVisaやMasterCardを利用することを可能にするために作られたものです。実際にアフリカでは年金など社会保障を振込するために政府がブランドプリペイドカードを配布している国もあります」(瀬田氏)。治安の悪さ、マネーロンダリングや脱税防止の観点からも、振込んだ年金をそのままカードで使用してもらう方が国民にとっても為政者のとっても好ましい。またプリペイドカードは、国際ブランドにとっても先進国で飽和したクレジットカード市場を拡大していくために重要な戦略である。「学生や未成年はクレジットカードが原則もてません。そういった層にもブランドプリペイドカードは与信審査なく発行することが可能です。国内では、カード離れしている若い世代を取りこむ戦略であることは理解できます。しかし、本人確認をほとんどせずにクレジットカードやデビットカードとほぼ同じ機能を持つカードを配布することにより、新たなカード犯罪の温床になる可能性があります」(瀬田氏)

おさいふPontaでは残高上限は10万円で、1回のチャージ上限は3万円。とくにクレジットカードからのチャージでは上限1万円で、1日3回まで。月間チャージ総額も10万円までと制限は設けている。しかし、瀬田氏はこう言う。「このようなプリペイドカードがコンビニの店頭から大量に手に入り、本人登録もせずに利用できることから、犯罪集団は偽造カードを作成したり、海外から持ち込んだりする必要が少なくなりました」。かつて偽造カード全盛の時代は、店頭で疑われないように非常に精巧な偽造カードを海外から大量に持ち込んでいた。それらは関税法によって税関職員は持ち込み時点で逮捕できていた。しかし正規のブランドプリペイドカードが大量に持ち込みされた場合は、現行法で逮捕できない。不正使用の手口はこうだ。ハッキングなどで不正入手したカード情報を使って、ブランドプリペイドカードに残高をチャージする。違法なカード情報でチャージしたものであっても、プリペイドカードは正規のものなので、偽造カードと違い店舗では堂々と不正使用することができる。ある意味のマネーロンダリングである。

おさいふPontaはローソンで無料配布されており、誰でも手に入れることができる

磁気ストライプカードが増加する?

実際におさいふPontaは、2016年にクレジットカードによるチャージを一時中断し、3Dセキュアによる本人認証を導入した上で2016年6月に再開した経緯がある。理由は定かではないが、おそらく上記の不正使用が拡大したためであろう。再開の際には海外発行カードからのチャージもできなくなっていることから、海外で流失したカード情報を使用して不正にチャージされたと推察する。一方au WALLETやソフトバンクカードはもともと携帯電話の利用者にオプションとして配布しているため、カード発行時点での本人確認は、おさいふPontaより確実にしているといえる。そのためなのか現在のところ残高チャージの際に3Dセキュアまでは本人認証を要求していない。

「現在のカード犯罪は、高度に分業化されています。多くの専門知識や高い技術をもったテロ組織と特殊暴力団が結びつき、活動資金のためにカード不正使用犯罪に関わっていることが顕在化しています」(瀬田氏)

2016年5月や11月に発生した大規模なATMの不正現金引き出し事件同様、ブランドプリペイドカードの不正使用も分業され、大規模な犯罪になりかねない。カード偽造対策の一環として、日本政府は2020年までに100%のICカード化を目標として掲げている。しかし現在発行されているブランドプリペイドカードはすべて磁気ストライプベースで、その指針にも逆行しているといえる。クレジットカードやデビットカードと比較し、偽造カードの作成は容易であると推測する。一方想定利用額が他の2タイプよりも明らかに低いため、全てのブランドプリペイドカードにICチップを搭載することが、発行カード会社の採算として合うどうかすら不明である。ブランドプリペイドカードが対面取引の不正使用の温床にならないためにも本人確認の強化とICカード化を進めていく必要がある。




ハッカーの系譜(10)マービン・ミンスキー (10) 多層化することで問題を解決

March 30, 2017 08:00

by 牧野武文

多層化することでXOR問題を乗り越えられる パーセプトロンの第1の進化は多層化だ。ミンスキーが指摘したように、パーセプトロンはXORの論理演算結果を学習することができない。前回示したように、XORの演算結果は線形分離不可能、つまり直線で真と偽のグループにわけることができないからだ。 しかし、実はちょ…

POSマルウェアの恐怖 (4) クレジットカード番号が顧客番号や業務処理のキーとして活用される

March 29, 2017 08:00

by 牧野武文

  ・POSマルウェアの恐怖(1) PCI DSSに準拠しても防げない? 狙われるPOSシステム ・POSマルウェアの恐怖(2) カード情報が平文で通信されるシステム ・POSマルウェアの恐怖(3) カード情報を全プロセスで暗号化する「PCI P2PE」はPOSマルウェア攻撃を防げるか POSレジを…

IoTヌイグルミは口が軽い!? ユーザー情報82万件がダダ漏れに(後編)

March 28, 2017 08:00

by 江添 佳代子

  →IoTヌイグルミは口が軽い!? ユーザー情報82万件がダダ漏れに(前編) →IoTヌイグルミは口が軽い!? ユーザー情報82万件がダダ漏れに(中編) 何も知らされていなかったユーザー ここでいったん時系列を確認しよう。ハントやロレンゾに情報を提供した人物がCloudPetsへの連絡を試みたのは…

中国で9億アカウントが利用する「WiFi万能鍵」が1308種類の偽アプリを一掃

March 27, 2017 10:30

by 牧野武文

『中国経済網』の報道によると、中国で大人気のアプリ「WiFi万能鍵」を開発した上海連尚科技有限公司は、今年3月までに、1308種類の偽アプリを一掃したと発表した。 アカウント数9億件を超える無線LANユーティリティーソフト WiFi万能鍵は、公衆無線LANに自動接続するAndroid・iOSアプリ。…