カーディングとは、許可なくクレジットカード情報を入手、取引、あるいは利用するという違法な行為を指します。多くの場合、ギフトカードやプリペイドカードを購入する目的で行われ、なりすまし犯罪、個人や企業の経済的損失、他のさまざまなサイバー犯罪を引き起こす原因となっています。
カードの不正利用による損失額は、世界全体で 2022 年には 330 億ドルを超えました。カーディングに対処するために、事業者はトークン化、暗号化、多要素認証、不正防止監視システムなどのセキュリティ対策を採用しています。このガイドでは、カーディングについて事業者が知っておくべきことを、カーディングの仕組みと防止策を含めてご紹介します。
この記事の内容
- カーディングの仕組み
- カーディングの歴史の概要
- ダークウェブやその他のオンラインコミュニティーがカーディングを可能にする仕組み
- カーディングが企業と消費者に与える影響
- 企業の視点から見たカーディング防止策
カーディングの仕組み
カード情報を盗む
カーディングのプロセスは、カード泥棒 (「カーダー」と呼ばれます) が、フィッシング、スキミング、データ侵害、キーロギングなどの手段を使ってクレジットカード情報を盗むことから始まります。
フィッシング: カーダーは詐欺的なメール、ウェブサイト、またはメッセージを使用して、個人をだまし、クレジットカード情報を開示させます。この目的を達成するために、カーダーは本物の会社やサービスの名前を使ってなりすまします。
スキミング: スキマーと呼ばれる装置を ATM やガソリンスタンドの給油機、POS 端末に設置し、クレジットカードからカード情報を取得します。
ハッキング: マルウェア、ランサムウェア、あるいは不正アクセスを利用してコンピューターシステムやデータベースに侵入し、クレジットカード情報を盗むサイバー犯罪です。
キーロギング: ソフトウェアまたはハードウェアを利用して被害者のデバイスのキー入力を記録して、クレジットカード情報やその他の機密情報を取得します。
SQL インジェクション: 悪意のある SQL コードをウェブサイトのデータベースに挿入し、クレジットカード情報などの機密情報を取り出します。
ショルダーサーフィン: ATM やレジで他の人がクレジットカード情報を入力するのをのぞき見して情報を盗み見ることです。
ファームジャッキング: カーダーは、本物のウェブサイトのオンラインフォームを改ざんしてユーザーのクレジットカード情報を取得します。
偽のアプリやウェブサイト: 本物のアプリやウェブサイトに似せた偽アプリや偽サイトを作り、ユーザーをだましてクレジットカード情報を提供させます。
ブルートフォース攻撃: 自動化されたソフトウェアを使ってクレジットカード番号を推測します。多くの場合、正しい番号が見つかるまで、さまざまな数字の組み合わせを順番に試していきます。
盗まれたクレジットカードのカード番号、有効期限、Card Verification Value (CVV) コード、請求先住所などが売買される闇市場が存在し、多くの場合、カーダーは盗んだカード情報をここで販売します。
カードの有効性をテストする
盗まれたクレジットカード情報を購入後、不正行為者はカーディングボットを使って情報を検証します。このボットは、少額の取引を E コマースウェブサイトでを行うことで、カードが有効で、不正利用のアラートを引き起こさずに使用できるかを試します。
不正取引を実行する
カードの正当性を確認後、不正行為者はその情報を使って不正な購入を行います。多くの場合、転売や個人利用の目的で高額商品やギフトカードを購入します。カーディングボットがこのプロセスを自動化し大規模に行うことを可能にするため、複数のウェブサイトを対象に短時間で多くの取引が実行されます。
検出を回避する
カーダーは、検出されるのを回避するため、以下の方法とツールを利用します。
プロキシーと VPN: カーダーの場所を隠して、E コマースウェブサイトが異常なパターンを検出しにくくします。
ランダム化されたボット: このボットは、不正防止システムを作動させないように、人間の振る舞いを模倣します。
分散攻撃: 分散型ボットネットワークにより、疑わしいアクティビティーが 1 カ所に集中しないようにします。
転売と換金: カーダーは、アクティビティーの追跡を困難にするために、不正に購入した商品をすぐに換金します。オンラインのマーケットプレイスやローカルネットワークを通じて商品を転売することもあります。
カーディングの歴史の概要
初期: 物理的な窃盗とスキミング
初期のカーディングでは、主に物理的な手段を使ってクレジットカード情報を入手していました。不正行為者は財布やバッグを盗んでクレジットカードを入手するか、ATM や POS 端末に装置を設置して、カードの読み取り時にカード情報を取得していました。2002 年頃には、スキマーの存在が報告されています。
インターネットの台頭: フィッシングとハッキング
インターネットの普及に伴い、カーディングの舞台はオンラインに移行。フィッシングや企業データベースのハッキングなどの新たな手法が登場し、大量のクレジットカード情報を盗むことを可能にしました。フィッシングは 1990 年代頃から存在していましたが、インターネットの普及が急速に進むにつれて 2000 年代初頭に発生件数が増加しています。
ダークウェブと闇市場
盗まれたクレジットカード情報の闇市場が拡大。この情報がダークウェブで取引され始め、不正行為者がカードのデータを簡単に入手、売買できるようになりました。オンラインのカーディングフォーラムは、カーディング技術の共有、盗難データの売買、犯罪行為の仲介の場としてよく利用されるようになりました。
カーディングボットと自動化
自動化と高度なソフトウェアが登場し、より巧妙なカーディング手法へとつながりました。カーディングボットによってカードテスティングと検証プロセスが自動化されると、不正行為者は活動規模を拡大し、不正行為をより素早く実施できるようになりました。カーダーは分散型ネットネットワークの利用も開始。大量の盗難クレジットカード情報を一気にテストできるようになりました。複数の場所と IP アドレスにアクティビティーを分散させることで、検出のリスクを下げています。
セキュリティ対策の強化とそれ伴う変化
カーディングの手口がより巧妙になるにつれて、セキュリティ対策も進化。チップと PIN 技術が 2010 年代に標準化され、クレジットカードの複製が困難になり、その結果、カーダーの拠点としてオンラインへの依存度が高まっていきます。E コマースプラットフォームは、疑わしいパターンや取引を特定するために機械学習と AI ベースの不正利用検知システムの導入を開始。自動化ボットがオンラインシステムを不正に利用するのを防ぐために、CAPTCHA と多要素認証が導入されました。
最新の技術と課題
カーダーは、新たなセキュリティ対策やテクノロジーが導入されると、それに適応して手法を進化させています。新たな手法としては、フォームジャッキング (オンラインフォームに悪意のあるコードを挿入してクレジットカード情報を抜き取ること)、合成 ID 詐欺 (盗まれたデータを使用して偽の身分証明書を作成し、クレジット口座を開設すること)、アカウント乗っ取り (盗まれたカード情報を使用して既存のアカウントに不正アクセスすること) などがあります。
ダークウェブその他のオンラインコミュニティーがカーディングを可能にする仕組み
ダークウェブその他のオンラインコミュニティーは、盗まれたクレジットカード情報やツール、知識を交換するためのプラットフォームを提供することで、カーディングを可能にしています。これらのプラットフォームが提供する匿名性とセキュリティにより、カーディングの手口はより強靭で適応性のあるものになり、法執行機関やサイバーセキュリティの専門家にとって継続的な課題となっています。ぜひ理解しておきましょう。
ダークウェブのマーケットプレイス
ダークウェブはインターネットの一部ですが、従来の検索エンジンによるインデックス付けはされておらず、Tor などの特殊なソフトウェアを通じてアクセスできるようになっています。その匿名性の高い性質から、カーディングなどの違法行為を引き寄せる環境となっています。ダークウェブのマーケットプレイスは、以下のような違法な商品やサービスを売買する拠点として機能しています。
盗難クレジットカード情報: ダークウェブでは大量のクレジットカード情報を販売することができます。カード情報は多くの場合、カードの種類、発行国、利用限度額ごとに分類されています。
カーディングツール: ダークウェブではカーディング関連ソフトウェア (カーディングボット、マルウェア、キーロガーなど) を購入できるため、犯罪者がこれを利用してアクティビティーを自動化し、規模を拡大することができます。
関連サービス: ダークウェブのマーケットプレイスでは、クレジットカードの検証、現金化、偽造身分証明書の作成などのサービスを提供するベンダーもいます。
フォーラムとコミュニティー
ダークウェブやその他のプラットフォーム上のオンラインフォーラムやコミュニティーは、カーディングや関連するアクティビティーに関する知識共有の拠点として機能しています。経験豊富なカーダーが、カーディングの実施方法や、検出を逃れるためのヒント、コツ、手順を共有しています。カーディングを新たに始めようとする者は、経験豊富なカーダーにアドバイスや指導を求めることができます。カーダーはこのフォーラムを、ネットワークとパートナーシップの構築、リソース共有、より複雑な不正行為の仲介の場として利用しています。
匿名性とセキュリティ
ダークウェブでは匿名で安全な取引が簡単に行えるため、法執行機関が違法行為を監視し取り締まることが難しくなっています。
仮想通貨: 一般に、ダークウェブでの取引にはビットコインなどの仮想通貨が利用されるため、買い手と売り手両方の匿名性が確保されます。
秘匿サービスと暗号化通信: ダークウェブのマーケットプレイスやフォーラムは、暗号化と秘匿サービス技術を使用して、ユーザーの身元を保護し、その活動を隠蔽します。
強靭なインフラ: 多くの場合、ダークウェブのマーケットプレイスは、当局によるシャットダウンに耐えることができるように、分散型で冗長なインフラを利用しています。
動的なコミュニティー: カーディングのフォーラムとコミュニティーは名前と場所を変えて繰り返し出現するため、追跡と廃絶が困難です。
カーディングが企業と消費者に与える影響
企業への影響
経済的損失: 不正取引が発生すると、多くの場合は企業がチャージバックと返金の費用を負担します。これは、特に中小企業 (SME) にとっては、最終的な収益に影響を与える可能性があります。売上の返金やチャージバック手数料に加えて、不正利用の影響でチャージバック率が上がると、決済代行業者から費用を値上げされたり、制限を加えられたりする可能性があります。
評判悪化: カーディングのインシデントが発生すると、企業の評判が損なわれる恐れがあります。ある企業のプラットフォームで不正利用に遭遇した利用者は、その企業に対する信頼を失い、否定的なレビューを書き込む可能性があります。
業務コスト: カーディングに対抗するには、セキュリティ対策、不正利用の検知システム、不正利用に関連する問題に対応するカスタマーサポートへの投資が必要になります。このコストは相当な額になる可能性があります。
監視の強化: 不正利用の発生率が高い場合、決済代行業者からの監視が厳しくなる可能性があります。その結果、手数料の増加、より厳しい要件、あるいは加盟店アカウントの解除などの措置が取られる可能性があります。
法令遵守のリスク: すべての事業者は、PCI データセキュリティ基準 (PCI DSS) などの規制に準拠する必要があります。カーディングのインシデントが原因で法令違反が生じた場合、罰金や法的な影響を招く可能性があります。
消費者への影響
口座への不正アクセス: クレジットカード情報を盗まれると、自分の口座に、身に覚えのない請求を発見することがあります。その場合、銀行やクレジットカード会社と協力して、不正な支払いを取り消し、口座を元の状態に戻すために時間と労力を費やさなければなりません。このプロセスは時間がかかり、精神的にも負担となります。
なりすまし犯罪: カーディングは、広範囲のなりすまし犯罪につながる可能性があります。広範囲のなりすまし犯罪とは、不正行為者が盗んだクレジットカード情報を使って新しい口座を開設したり、ローンを申請したり、他の形の不正行為を行ったりすることです。
精神的苦痛: 身に覚えのない請求を発見し、カーディングの影響に対処することは、精神的苦痛と不安を消費者にもたらす可能性があります。
クレジットスコアへの影響: カーディングに関連する不正利用が原因で、消費者のクレジットスコアが響を受ける場合があります。特に、不正利用によって支払いが滞ったり、債務不履行が発生したりした場合です。
企業の視点から見たカーディング防止策
最新式の不正利用検知システムでは、機械学習と人工知能を利用して、異常な購買パターンと行動を特定します。以下では、これらのテクノロジーや他の方法を利用してカーディングから自社を守る方法をご紹介します。
行動分析: 自社プラットフォーム上でのユーザーの行動を分析し、短時間に大量の取引が実行される、異なるカード番号で試行が繰り返される、通常とは異なる地理的位置パターンが見られるなどの異常を特定します。
動的なリスクスコアリングと MFA: デバイスフィンガープリンティング、IP アドレス、地理位置情報、過去のデータなどの複数の要素に基づいて取引にリスクスコアを割り当てます。リスクの高い取引では、多要素認証 (MFA) を求めることができます。
トークン化: 機密性の高いクレジットカード情報を内部処理用にトークンに変換し、生のカードデータが露出されるのを最小限に抑え、盗難のリスクを減らします。
エンドツーエンドの暗号化: データの取得から保存、処理に至るまでの全段階を通して、機密性の高い情報を暗号化することで、傍受や不正アクセスのリスクを減らします。
セキュアなデータストレージ: クレジットカード情報を、暗号化されたデータベースに保存、アクセスを制限します。役割に基づくアクセス管理 (RBAC) を導入し、権限を持つ人だけが、機密データにアクセスできるようにします。
取引のリアルタイム監視: 取引をリアルタイムで監視し、潜在的な不正行為が見つかった場合はセキュリティチームに自動アラートを送信し、すぐに調査できるようにします。
インシデント対応チーム: 専任のインシデント対応チームを設立し、カーディングインシデントの対処方法に関する明確な手順書を作成します。
脅威インテリジェンスの共有: 脅威インテリジェンスの共有プログラムに参加し、カーディングの新たな動向や手法についての最新情報を入手します。
法執行機関と協力する: サイバー犯罪を専門とする法執行機関と関係を築き、カーディング犯罪の調査と摘発に協力します。
CAPTCHA の代替ソリューション: ユーザーの操作を必要とせずにボットのようなふるまいを検出できる高度な CAPTCHA ソリューションやその代替ソリューションを使用しましょう。たとえば、reCAPTCHA v3 などです。
レート制限とスロットリング: レート制限を導入し、一定時間内での単一の IP アドレスやユーザーからの取引または試行の件数を制限します。
デバイスフィンガープリンティング: 固有のデバイス特性を特定して、自動ボットのアクティビティーを検出します。これにより、カーディングボットが大量の盗難クレジットカード情報のテスティングを実行できないようにします。
不正利用のアラートと通知: 疑わしいアクティビティーが検出された場合は利用者にアラートを送り、利用者が取引を即時に確認または拒否できるようにします。
顧客教育: カーディングのリスクと、自身のクレジットカード情報を守るためのベストプラクティスを利用者に伝えます。これにより、フィッシングやソーシャルエンジニアリング攻撃が成功する可能性を下げることができます。
この記事の内容は、一般的な情報および教育のみを目的としており、法律上または税務上のアドバイスとして解釈されるべきではありません。Stripe は、記事内の情報の正確性、完全性、妥当性、または最新性を保証または請け合うものではありません。特定の状況については、管轄区域で活動する資格のある有能な弁護士または会計士に助言を求める必要があります。