BIN 番号または銀行識別番号とは、クレジットカード、デビットカード、その他の決済カードに表示されている番号の先頭 6 ～ 8 桁のことを指します。この番号によってカード発行会社を特定し、決済を行うために請求が正しい銀行に送信されるようにすることで、電子金融取引を円滑に進めます。

カード発行会社の特定以外にも、BIN によってカードの種類 (例: クレジットカード、デビットカード、ギフトカード)、カードのレベル (例: スタンダード、ゴールド、プラチナム)、発行機関の地理的な位置に関する情報の取得が可能です。BIN 番号は、使用されているカードの真正性を確認し、決済代行業者による適切なリスク管理プロセスの適用を可能にして、電子取引のセキュリティと不正防止において重要な役割を果たします。

BIN 攻撃はクレジットカードの不正利用の一形態であり、サイバー犯罪者がブルートフォース方式を利用して有効なクレジットカード情報の組み合わせを推測します。2022 年だけで、アメリカでのクレジットカードの不正利用による損失額は 2 億 1,900 万ドルに達しています。BIN 攻撃の間、犯罪者はシステムでクレジットカード番号、有効期限、Card Verification Value (CVV) の多数の組み合わせをテストします。有効な組み合わせが見つかると、少額の購入を行ってカードをテストします。このような攻撃は金銭的損失、評判への悪影響、事業運営の中断につながるため、金融機関にとっての課題となっています。

この記事では、BIN 攻撃の仕組みと防止のためのステップなど、BIN 攻撃についてビジネスで知っておくべきことについて説明します。

この記事の内容

• BIN 攻撃の仕組み
  
• BIN 攻撃が特に発生しやすいビジネス
  
• BIN 攻撃を防止および軽減する方法
  
• BIN 攻撃からビジネスを守るためのベストプラクティス
  

BIN 攻撃の仕組み

BIN 攻撃には不正行為者が関わっており、違法の目的で有効なクレジットカードやデビットカードの番号を生成するために BIN が悪用されています。BIN とは、クレジットカードやデビットカードの番号の先頭 6 ～ 8 桁を指し、これによってカード発行会社とカードの種類が特定されます。ここでは、BIN 攻撃が発生する過程の内訳を詳しく紹介します。

• BIN の確認: まず、攻撃者は特定の銀行またはカード発行会社の BIN を入手します。これは、ダークウェブでの BIN リストの購入、盗まれたカードデータからの抽出、公的に入手可能な情報の利用など、さまざまな手段によって行われる可能性があります。

• カード番号の生成: 攻撃者は、ランダムに生成される数字を BIN に付加し、Luhn アルゴリズムを使用して適切なチェックデジット (通常は最後の桁) を計算することで、完全なカード番号を生成します。Luhn アルゴリズムは、さまざまな識別番号を検証するために使用される手段です。より高度な BIN 攻撃者は、自動化されたスクリプトやボットを使用して数千件のカード番号を生成およびテストし、攻撃の効率化と規模拡大を促している場合があります。

• 検証の試行: その後、生成したカード番号をウェブサイトでテストします。この際、通常はセキュリティ対策が脆弱なウェブサイトや、確認プロセスが即座に実際の取引に影響を及ぼすことがないウェブサイト (カードをデジタルウォレットに追加する、特定のオンラインプラットフォームでカードの有効性を確認するなど) でテストが行われます。

• 悪用: 有効なカード番号が特定されると、不正行為者はそれを使用して、カードがブロックされるか、カード保有者やカード発行会社によって不正利用が検知されるまで、承認されていない購入や取引を行います。不正行為者は、カード詳細を使用してオンラインでの購入や偽造カードの作成、ダークウェブでの情報の販売を行うことがあります。

BIN 攻撃によって利用者とビジネスに金銭的損失が生じたり、金融機関の評判に悪影響が及んだり、不正利用の検知と防止に関連した運用コストが増加したりする恐れがあります。

BIN 攻撃が特に発生しやすいビジネス

BIN 攻撃の影響を特に受けやすいのは、一般的に、大量のオンライン取引を処理していて、厳格な確認プロセスを整備していないビジネスです。

• オンライン小売業者: オンライン決済を受け付けている E コマースビジネスは、その大量の取引件数と匿名でのオンライン購入が可能なことが原因で、BIN 攻撃の標的にされることが多くなっています。

• デジタル商品の売り手: デジタル商品は迅速かつ容易に入手でき、不正行為者にとって魅力的な標的となっているため、ソフトウェア、音楽、動画などのデジタル商品を販売しているビジネスはリスクに晒されています。

• 旅行・ホスピタリティビジネス: 航空会社、ホテル、旅行代理店は高額な取引と外国のクライアントに対応することが多く、不正行為の検知がより困難になっているため、BIN 攻撃の影響を受けやすくなっています。

• ゲーム・ギャンブル企業: オンラインゲームおよびギャンブルプラットフォームは、取引が即座に高額で行われることや、匿名での取引が可能なことが原因で、頻繁に BIN 攻撃の標的になっています。

• サブスクリプションベースのサービス: ストリーミングプラットフォームや会員制ウェブサイトなど、サブスクリプションベースのサービスを提供している企業は、不正行為者が継続請求モデルを悪用して長期にわたって不正取引を実行する可能性があるため、リスクに晒されています。

• 金融機関: 不正行為者が決済処理システムの脆弱性の悪用や、承認されていない取引の実行を試みているため、銀行および金融機関自体も BIN 攻撃の標的になる場合があります。

• 決済代行業者: 他のビジネスの決済処理に対応している企業もまた、自社のシステムでの侵害がビジネスとその利用者に悪影響をもたらす恐れがあるため、BIN 攻撃に対して脆弱です。

BIN 攻撃を防止および軽減する方法

• 行動分析と機械学習: 高度な機械学習モデルと行動分析を導入して、異常な取引パターンを検知します。こうしたシステムでは、過去の取引データから学習して、不正行為の兆候となるパターンを認識したり、経時的に新しい脅威に適応したりすることが可能です。

• トークン化と暗号化: 基本的な暗号化以外にも、侵害を受けた場合はトークン化を使用して、機密性の高いカード詳細を値のない一意の識別子 (トークン) に置き換えます。カードデータを処理または保管する全システムにわたって、トークン化が適用されるようにしましょう。また、暗号化されたデータの計算を可能にする準同型暗号など、高度な暗号化方式を導入して、セキュリティを強化することを検討しましょう。

• 3D セキュア 2: 3D セキュアの最新バージョンを導入して、より強固な不正防止機能を提供しつつ、オンライン取引向けの認証を強化し、ユーザー体験の簡素化に対応しましょう。

• ネットワークレベルの不正検知: 高度なネットワークレベルのアナリティクスを活用して、BIN 攻撃を検知および防止します。これには、ネットワークトラフィックの分析による疑わしいパターンの発見、データ漏洩の兆候のモニタリング、高度な侵入検知システム (IDS) の導入などが含まれます。

• エンドポイントのセキュリティ: 次世代のウィルス対策、エンドポイントでの検知と対応 (EDR)、ゼロトラストのセキュリティモデルを備えた高度なエンドポイント保護プラットフォーム (EPP) によって、すべてのエンドポイント (特に、取引処理に関わっているエンドポイント) が保護されるようにしましょう。

• 高度なアプリケーションのセキュリティ: 定期的なコードの監査、アプリケーションレベルの暗号化、BIN 攻撃に特有の攻撃パターンを検知してブロックするように設定したウェブアプリケーションファイアウォール (WAF) など、包括的なアプリケーションのセキュリティ対策を導入しましょう。

• ディープパケットインスペクション (DPI): ネットワーク境界で DPI を使用し、アプリケーションレイヤーで受信および送信トラフィックを精査します。これは、BIN 攻撃の一部の可能性がある潜在的に悪意を持ったパケットの特定とブロックに役立てられます。

• 厳格な認証: 特に支払い方法の変更に対して、指紋または顔認証などの生体認証方式を取り入れて、認証を強化します。リスクの高い取引に関しては、同意に基づいた認証の導入を検討しましょう。こうした認証では、ユーザーが別個の安全なチャネルを通じて明示的に取引を承認する必要があります。

• AI を活用したリスクスコアリング: ユーザーの行動、指紋認証、取引のコンテキストなど、多数の要素に基づいてリアルタイムで取引にリスクスコアを割り当てる AI ベースのシステムを開発または導入します。リスクスコアが高い取引については、追加の確認をトリガーしたり、即座にブロックしたりすることができます。

• クロスチャネル分析と地理位置情報分析: さまざまなチャネル (例: オンライン、モバイル、店舗内) をまたいで分析を行い、不正行為におけるパターンと連係関係を検知します。このように包括的に確認することで、複数のチャネルを悪用する高度な不正利用のスキームを発見できます。また、取引の地理位置情報データを分析して、不整合 (信じがたい時間枠の中でカードが 2 つの離れた場所で使用されているなど) を検知することもできます。

• ブロックチェーンによる取引のセキュリティ: 取引を保護するために、不変性と透明性を特徴とするブロックチェーン技術の使用を検討しましょう。自動的に取引のルールを施行して、不正利用の可能性を低減するために、スマートコントラクトを導入するとよいでしょう。

BIN 攻撃からビジネスを守るためのベストプラクティス

• ネットワークをセグメント化する: ネットワークを複数のセグメントに分割して、潜在的な侵入の伝播を制限し、より集中的なモニタリングを促しましょう。機密性の高い決済情報を処理するセグメントをモニタリングして、通常と異なるアクティビティーを検知し、速やかに対応します。

• 脅威インテリジェンスを常に把握する: リアルタイムの脅威インテリジェンスフィードを活用して、最新の BIN 攻撃の戦術とセキュリティ侵害インジケーター (IOC) を常に把握します。こうした情報は、防衛手段のアップデートや新しい脅威へのより効果的な対応に役立てられます。

• 先を見越したインシデント対応を計画する: BIN 攻撃への対処に特化して設計された高度なインシデント対応計画を用意しましょう。これには、ステークホルダー向けのコミュニケーション戦略と合わせて、迅速な検知、封じ込め、根絶、リカバリーのための手順を含める必要があります。

• セキュリティプロトコルを継続的に再評価する: BIN 攻撃で悪用され得る潜在的な脆弱性を特定して対処するために、侵入テスト、脆弱性評価、セキュリティ監査を通じてセキュリティ態勢を定期的に評価します。

How Stripe Connect can help

Stripe Connect orchestrates money movement across multiple parties for software platforms and marketplaces. It offers quick onboarding, embedded components, global payouts, and more.

Connect can help you:

• Launch in weeks: Use Stripe-hosted or embedded functionality to go live faster, and avoid the up-front costs and development time usually required for payment facilitation.

• Manage payments at scale: Use tooling and services from Stripe so you don’t have to dedicate extra resources to margin reporting, tax forms, risk, global payment methods, or onboarding compliance.

• Grow globally: Help your users reach more customers worldwide with local payment methods and the ability to easily calculate sales tax, VAT, and GST.

• Build new lines of revenue: Optimize payment revenue by collecting fees on each transaction. Monetize Stripe’s capabilities by enabling in-person payments, instant payouts, sales tax collection, financing, expense cards, and more on your platform.

Learn more about Stripe Connect, or get started today.