BIN 番号 (銀行識別番号) は、クレジットカード、デビットカード、その他の決済カードに表示される 6 ～ 8 桁の最初のシーケンスです。このシーケンスによってクレジットカード発行会社が識別され、決済が正しい銀行に送金されることで電子金融取引が円滑に行われます。

カード発行会社の特定以外にも、BIN によってカードの種類 (クレジットカード、デビットカード、ギフトカードなど)、クレジットカードのレベル (Standard、Gold、Platinum など)、発行機関の地理的な場所に関する情報の取得が可能です。BIN 番号は、電子取引において、カードの真正性を確認し、不正利用防止、個人情報の盗難の防止において重要な役割を果たします。BIN は、使用されているクレジットカードのセキュリティと適切なリスク管理プロセスの適用を可能にし、決済代行業者による決済の不正利用の検知に重要な役割を果たします。

BIN 攻撃はクレジットカード不正利用の一種で、サイバー犯罪者は総当り方式でクレジットカード情報の有効な組み合わせを推測します。2024 年だけで、6200 万人のアメリカ人がクレジットカード不正利用の影響を受けたと推定されています。BIN攻撃では、犯罪者はクレジットカード番号、有効期限、カード確認値 (CVV) のさまざまな組み合わせを体系的にテストします。有効な組み合わせを見つけたら、少額の購入を行ってクレジットカードをテストします。これらの攻撃は、経済的損失、風評被害、企業の業務の中断につながる可能性があります。

以下では、BIN 攻撃の仕組みや防止方法など、BIN 攻撃について企業が知っておくべきことについて説明します。

目次

• BIN 攻撃の仕組み
  
• BIN 攻撃が特に発生しやすいビジネス
  
• BIN 攻撃を防止および軽減する方法
  
• BIN 攻撃からビジネスを守るためのベストプラクティス
  
• Stripe Connect でできること
  

BIN 攻撃の仕組み

BIN 攻撃では、不正利用者が BIN を悪用して、不正な目的で有効なクレジットカードまたはデビットカード番号を生成します。BIN は、クレジットカードまたはデビットカードの 6 ～ 8 個の番号の最初のシーケンスであり、カード発行会社とクレジットカードの種類を識別します。これらの攻撃の発生方法は次のとおりです。

• BIN の識別: 攻撃者はまず、特定の銀行やクレジットカード発行会社の BIN を取得します。これは、ダークウェブで BIN リストを購入する、盗まれたクレジットカードデータから抽出する、公開されている情報を使用するなど、さまざまな方法で行われます。

• クレジットカード番号の生成: 攻撃者は、ランダムに生成される数字を BIN に付加し、Luhn アルゴリズムを使用して適切なチェックデジット (通常は最後の桁) を計算することで、完全なクレジットカード番号を生成します。Luhn アルゴリズムは、さまざまな識別番号を検証するために使用される手段です。より高度な BIN 攻撃者は、自動化されたスクリプトやボットを使用して数千件のクレジットカード番号を生成およびテストし、攻撃の効率と規模を拡大させている場合があります。

• 検証の試行: 攻撃者は、生成されたクレジットカード番号をウェブサイトでテストします。これは通常、セキュリティ対策が脆弱なウェブサイトや、検証プロセスにすぐに取引が伴わないウェブサイトです。この例としては、デジタルウォレットへのクレジットカードの追加、特定のオンラインプラットフォームでのクレジットカードの有効性の確認などがあります。

• 悪用: 有効なクレジットカード番号が特定されると、不正利用者はそれを使用して、カードがブロックされるか、カード会員やカード発行会社によって不正利用が検知されるまで、承認されていない購入や取引を行います。不正利用者は、カード詳細を使用してオンラインでの購入や偽造カードの作成、ダークウェブでの情報の販売を行うことがあります。

BIN 攻撃によって利用者とビジネスに金銭的損失が生じたり、金融機関の評判に悪影響が及んだり、不正利用の検知と防止に関連した運用コストが増加したりする恐れがあります。

BIN 攻撃が特に発生しやすいビジネス

BIN 攻撃の影響を最も受けやすいビジネスは、通常、大量のオンライン取引を処理するビジネスであり、厳格な確認プロセスが確立されていない可能性があります。たとえば、次のようなビジネスです。

• オンライン小売業者: オンライン決済を受け付けている EC ビジネスは、その大量の取引件数と匿名でのオンライン購入が可能なことが原因で、BIN 攻撃の標的にされることが多くなっています。

• デジタル商品の売り手: デジタル商品は迅速かつ容易に入手でき、不正利用者にとって魅力的な標的となっているため、ソフトウェア、音楽、動画などのデジタル商品を販売しているビジネスはリスクに晒されています。

• 旅行・ホスピタリティビジネス: 航空会社、ホテル、旅行代理店は高額な取引と外国のクライアントに対応することが多く、不正利用の検知がより困難になっているため、BIN 攻撃の影響を受けやすくなっています。

• ゲーム・ギャンブル企業: オンラインゲームおよびギャンブルプラットフォームは、取引が即座に高額で行われることや、匿名での取引が可能なことが原因で、頻繁に BIN 攻撃の標的になっています。

• サブスクリプション型サービス: ストリーミングプラットフォームや会員制ウェブサイトなど、サブスクリプション型サービスを提供している企業は、不正利用者が継続請求モデルを悪用して長期にわたって不正取引を実行する可能性があるため、リスクに晒されています。

• 金融機関: 不正利用者が決済処理システムの脆弱性の悪用や、承認されていない取引の実行を試みているため、銀行および金融機関自体が BIN 攻撃の標的になる場合があります。

• 決済代行業者: 他の企業の決済処理を担当する企業も BIN 攻撃に対して脆弱です。これは、自社のシステムへの侵害が企業や顧客に深刻な結果をもたらす可能性があるためです。

BIN 攻撃を防止および軽減する方法

• 行動分析と機械学習: 高度な機械学習モデルと行動分析を導入して、異常な取引パターンを検知します。こうしたシステムでは、過去の取引データから学習して、不正利用の兆候となるパターンを認識したり、経時的に新しい脅威に適応したりすることが可能です。

• トークン化と暗号化: 基本的な暗号化以外にも、侵害を受けた場合はトークン化を使用して、機密性の高いカード詳細を値のない一意の識別子 (トークン) に置き換えます。クレジットカードデータを処理または保管する全システムにわたってトークン化が適用されるようにしましょう。また、暗号化されたデータの計算を可能にする、準同形暗号化など高度な暗号化方式を導入して、セキュリティを強化することを検討しましょう。

• 3D セキュア 2: 3D セキュアの最新バージョンを導入して、より強固な不正利用防止機能を提供しつつ、オンライン取引向けの認証を強化し、ユーザー体験の簡素化に対応しましょう。

• ネットワークレベルの不正検知: 高度なネットワークレベルのアナリティクスを活用して、BIN 攻撃を検知および防止します。これには、ネットワークトラフィックの分析による疑わしいパターンの発見、データ漏洩の兆候のモニタリング、高度な侵入検知システム (IDS) の導入などが含まれます。

• エンドポイントのセキュリティ: 次世代のウィルス対策、エンドポイントでの検知と対応 (EDR)、ゼロトラストのセキュリティモデルを備えた高度なエンドポイント保護プラットフォーム (EPP) によって、すべてのエンドポイント (特に、取引処理に関わっているエンドポイント) が保護されるようにしましょう。

• 高度なアプリケーションのセキュリティ: 定期的なコードの監査、アプリケーションレベルの暗号化、BIN 攻撃に特有の攻撃パターンを検知してブロックするように設定したウェブアプリケーションファイアウォール (WAF) など、包括的なアプリケーションのセキュリティ対策を導入しましょう。

• ディープパケットインスペクション (DPI): ネットワーク境界で DPI を使用し、アプリケーションレイヤーで受信および送信トラフィックを精査します。これは、BIN 攻撃の一部の可能性がある潜在的に悪意を持ったパケットの特定とブロックに役立てられます。

• 厳格な認証: 特に決済手段の変更に対して、フィンガープリントまたは顔認証などの生体認証方式を取り入れて、認証を強化します。リスクの高い取引に関しては、同意に基づいた認証の導入を検討しましょう。こうした認証では、ユーザーが別個の安全なチャネルを通じて明示的に取引を承認する必要があります。

• AI を活用したリスクスコアリング: ユーザーの行動、デバイスフィンガープリント、取引のコンテキストなど、多数の要素に基づいてリアルタイムで取引にリスクスコアを割り当てる AI ベースのシステムを開発または導入します。リスクスコアが高い取引については、追加の確認をトリガーしたり、即座にブロックしたりすることができます。

• クロスチャネル分析と地理位置情報分析: さまざまなチャネル (例: オンライン、モバイル、店舗内) をまたいで分析を行い、不正利用におけるパターンと連係関係を検知します。このように包括的に確認することで、複数のチャネルを悪用する高度な不正利用のスキームを発見できます。また、取引の地理位置情報データを分析して、不整合 (信じがたい時間枠の中でクレジットカードが 2 つの離れた場所で使用されているなど) を検知することもできます。

• ブロックチェーンによる取引のセキュリティ: 取引を保護するために、不変性と透明性を特徴とするブロックチェーン技術の使用を検討しましょう。自動的に取引のルールを施行して、不正利用の可能性を低減するために、スマートコントラクトを導入するとよいでしょう。

BIN 攻撃からビジネスを守るためのベストプラクティス

• ネットワークをセグメント化する: ネットワークを複数のセグメントに分割して、潜在的な侵入の伝播を制限し、より集中的なモニタリングを促しましょう。機密性の高い決済情報を処理するセグメントをモニタリングして、通常と異なるアクティビティーを検知し、速やかに対応します。

• 脅威インテリジェンスを常に把握する: リアルタイムの脅威インテリジェンスフィードを活用して、最新の BIN 攻撃の戦術とセキュリティ侵害インジケーター (IOC) を常に把握します。こうした情報は、防衛手段のアップデートや新しい脅威へのより効果的な対応に役立てられます。

• 先を見越したインシデント対応を計画する: BIN 攻撃への対処に特化して設計された高度なインシデント対応計画を用意しましょう。これには、ステークホルダー向けのコミュニケーション戦略と合わせて、迅速な検知、封じ込め、根絶、リカバリーのための手順を含める必要があります。

• セキュリティプロトコルを継続的に再評価する: BIN 攻撃で悪用され得る潜在的な脆弱性を特定して対処するために、侵入テスト、脆弱性評価、セキュリティ監査を通じてセキュリティ態勢を定期的に評価します。

Stripe Connect でできること

Stripe Connect は、ソフトウェアプラットフォームやマーケットプレイスにおける複数者間での資金移動を可能にするツールです。スムーズなアカウント登録、組み込みコンポーネント、グローバル決済などの機能を備えています。

Connect の特徴

• 数週間でローンチ: Stripe 上の機能、または組み込み機能を活用して本番環境にスピーディーに移行できます。ペイメントファシリテーションに必要な初期費用や開発時間を軽減できます。

• 大量の決済取引を管理: Stripe のツールやサービスを利用することで、専任の人材がいなくても、マージンレポート、納税申告書、リスク管理、世界各国の決済手段、アカウント登録の法規制などに対応できます。

• グローバルに成長: 地域固有の決済手段や、売上税、VAT、GST を簡単に計算する機能を活用することで、ユーザーが世界中のより多くの顧客にリーチできるよう支援します。

• 新しい収益源を構築: 各取引ごとに手数料を徴収して決済収益を最適化します。プラットフォーム上で対面決済、即時入金、消費税徴収、融資、経費用カードなどの機能を有効にして、Stripe ツールを収益化できます。

Stripe Connect について詳しくはこちらをご覧ください。今すぐ開始する場合はこちら。