カーディングは、クレジットカード情報を不正に入手する、取引する、または使用する違法行為です。多くの場合、その目的は、ギフトカードやプリペイドカードの購入です。カーディングは、なりすましに使われたり、個人や企業に経済的損失を与えたりするほか、さまざまなサイバー犯罪の手段となっています。
クレジットカードの不正利用による全世界の損失額は、 2026 年に 430 億ドルに達することが予想されます。企業はカーディングに対抗するため、トークン化、暗号化、多要素認証、不正防止監視システムなどのセキュリティ対策を採用しています。このガイドでは、カーディングの仕組みと防止策を含め、事業者の皆様が身に付けておくべき知識を取り上げます。
この記事の内容
- カーディングの仕組み
- 企業のカーディング対策
- ダークウェブはカーディングの温床
- カーディングが企業と消費者に与える影響
- カーディング攻撃の歴史
- Stripe Radar の特長
カーディングの仕組み
カード情報を盗む
カーディングは、「カーダー」と呼ばれるカード泥棒が、フィッシング、スキミング、データ侵害、キーロギングなどの手段を使ってクレジットカード情報を盗むことからスタートします。
カーダーがカード情報を盗む際に使う一般的な手口は次の通りです。
フィッシング: カーダーが、詐欺メール、詐欺サイト、詐欺メッセージを使ってカードの持ち主を騙し、クレジットカード情報を開示させます。そのために、カーダーはよく実在の企業やサービスになりすまします。
スキミング: カーダーが、スキマーと呼ばれるデバイスを ATMやガソリンスタンドの給油機、POS 端末に仕掛け、物理的なクレジットカードからカード情報を盗み取ります。
ハッキング: サイバー犯罪者が、マルウェアやランサムウェア、不正アクセスによってコンピューターシステムやデータベースに侵入し、クレジットカード情報を盗み取ります。
キーロギング: ソフトウェアまたはハードウェアがターゲットのデバイス上のキー入力を記録し、クレジットカード情報その他の機密情報を盗み取ります。
SQL インジェクション: カーダーが悪意のある SQL コードをウェブサイトのデータベースに埋め込み、クレジットカード情報などの機密情報を抜き取ります。
ショルダーサーフィン: 不正なアクターが、ATM やレジで他人のクレジットカード情報入力を覗き見して情報を盗み取ります。
ファームジャッキング: カーダーが、本物のウェブサイトのオンラインフォームを改ざんし、ユーザーのクレジットカード情報を盗み取ります。
偽アプリと偽ウェブサイト: 不正なアクターが、本物そっくりのアプリやウェブサイトを作ってユーザーを騙し、クレジットカード情報を入力させます。
ブルートフォース攻撃: サイバー犯罪者が自動ソフトウェアを使ってクレジットカード番号を推測します。正しい番号が見つかるまで、さまざまな数字の組み合わせを順番に試していく方法が多く使われます。
多くの場合、クレジットカード情報を盗み取ったカーダーは、闇市場でその情報を売りさばきます。買い手は闇市場で、盗難カードのカード番号、有効期限、セキュリティコード (CVV)、請求先住所を買い取ることができます。
カードの有効性を検証する
盗まれたクレジットカード情報を買い取った不正なアクターは、カーディングボットを使って情報を検証します。これらのボットは、少額の取引を E コマースサイトで実行し、そのカードが有効かどうか、ID 盗難警告を出さずに使用できるかどうかを検証するプロセスを自動化します。
不正取引を実行する
不正なアクターは、カードの正当性を確認した上で、その情報を使って不正な購入を実行します。高額商品やギフトカードを購入し、再販売して現金に換えたり、自分で使用したりするケースが多く見られます。不正なアクターは、カーディングボットを使用してこのプロセスを自動化し、スケールアップします。こうして、複数のウェブサイトをターゲットにして、短時間のうちに多数の取引を実行するのです。
検出を回避する
カーダーは、さまざまなツールや戦術を駆使して不正利用中の検知を回避します。多くの場合、プロキシや VPN を使って実際の居場所を隠すので、E コマースプラットフォーム側は、疑わしいアクティビティにフラグを立てにくくなります。また、カーダーは、注意を引かないように分散型ボットネットワークでアクティビティを拡散しつつ、ランダム化ボットを使って人間の行動を模倣し、不正検知を回避します。さらに、カーダーは、盗み取った商品をオンラインやローカルネットワークで再販売して短時間のうちに現金化するので、行動の追跡はますます難しくなります。
企業のカーディング対策
高度な不正検知システムは、人工知能を駆使して異常な購入パターンや行動を発見します。ここでは、企業がこれらのテクノロジーその他の方法を使って身を守る方法をご紹介します。
住所確認システム (AVS): AVS は、ユーザーから提供された請求先住所とカード発行会社に登録された請求先住所を比較します。基本的ではありますが、有効な不正利用防止ツールです。
行動分析: 自社のプラットフォーム上でユーザーの行動を分析し、短時間の大量取引、異なるカード番号による反復的な試行、通常と異なる位置情報パターンなどのアノマリ―を発見します。
動的リスクスコアリングと MFA: 指紋認証、IP アドレス、IP 位置情報、履歴データなど、複数の要素に基づいて取引にリスクスコアを付けます。高リスクの取引では、多要素認証 (MFA) を発動させることができます。
セキュリティコード (CVV): 顧客に CVV の入力を求めれば、買い手がクレジットカードを物理的に所持していることが確認できるので、盗難クレジットカード番号のみによる不正使用のリスクが軽減されます。
トークン化: 秘匿を要するクレジットカード情報を社内で使用するセキュアなトークンに変換することにより、未処理のカードデータの漏出を最小限に抑え、盗難のリスクを小さくします。
エンドツーエンド暗号化: データの取得から保存、処理までを通して機密情報を暗号化することにより、傍受や不正アクセスのリスクを減らします。
セキュアなデータストレージ:暗号化され、アクセスが制限されたデータベースにクレジットカード情報を保存します。ロールベースアクセス制御 (RBAC) を導入し、権限者のみが機密データにアクセスできるよう徹底させます。
リアルタイムの取引監視: リアルタイムで取引を監視し、不正が疑われるアクティビティを発見します。直ちに調査を開始できるように、セキュリティチームに自動アラートを送信します。
インシデント対応チーム: 専任のインシデント対応チームを立ち上げ、カーディングインシデントへの対処方法に関する明確な手順書を作成します。
脅威インテリジェンスの共有: カーディングの最新動向や手口に関する最新情報を入手するため、脅威インテリジェンス共有プログラムに参加します。
法執行機関との連携: サイバー犯罪を専門とする法執行機関との間で関係を構築し、カーディング活動の捜査とテイクダウンに協力します。
CAPTCHA 代替ソリューション: ユーザーの介在を必要とせず、ボットの使用が疑われる動作を検知する最新の CAPTCHA ソリューション、または reCAPTCHA v3 などの代替ソリューションを活用します。
レート制限、スロットリング: レート制限または速度チェックを導入し、一定の時間内に単一の IP アドレスまたはユーザーから発せられる取引または試行の件数を制限します。
指紋認証: 固有のデバイス特性を特定し、自動ボットのアクティビティーを検出します。カーディングボットによる大量の盗難クレジットカード情報の検証を防ぐことができます。
不正利用のアラートと通知: 疑わしいアクティビティーが検出されたとき、顧客にアラートを送ります。顧客は取引を即時に確認または拒否することができます。
顧客の意識向上: カーディングのリスクと、クレジットカード情報保護のベストプラクティスを顧客に伝えます。こうした情報提供を通じて、フィッシングやソーシャルエンジニアリング攻撃の成功確率を下げることができます。
ダークウェブはカーディングの温床
ダークウェブは匿名取引に対応しています。これらの取引を法執行機関が追跡したり、阻止したりすることは困難です。大半の決済ではビットコインなどの仮想通貨が使用され、買い手と売り手の身元が知られることはありません。
各マーケットプレイスは、暗号化、秘匿サービス、分散インフラストラクチャといった対策を講じています。これは、ユーザーを保護し、テイクダウンが実行されてもネット上に留まるためです。たとえサイトが閉鎖されても、カーディングフォーラムなどのダイナミックコミュニティは名前を変えて再び現れるケースが多いため、これらを完全に消し去ることは困難です。
ダークウェブ上のマーケットプレイスは、特に金融詐欺がらみの違法な商品やサービスの取引で中心的役割を果たすプラットフォームです。これらのマーケットプレイスは、盗難クレジットカードのデータを提供します。多くの場合、データは、種類や国などの細目別に整理されています。また、不正の自動化を助けるボットやマルウェアなどのカーディングツールも併せて提供しています。それだけではありません。これらのマーケットプレイスは、クレジットカードの検証、現金化の支援、偽造 ID の作成といった関連サービスも提供しています。
ダークウェブコミュニティは、経験豊富なカーダーが、テクニック、手引き、アドバイスを新規参入者に教えるナレッジハブです。これらのプラットフォームは、ネットワーキングやコラボレーションにも活用できるため、ユーザーはさらに高度な不正操作を編み出すことができます。
カーディングが企業と顧客に与える影響
企業への影響
経済的損失: 多くの場合、不正な取引が発生したときに、チャージバックと返金のコストを負担するのは企業です。これは、特に中小企業 (SME) の損益に影響を与える可能性があります。
評判の低下: カーディングインシデントは、企業の評判を損なうおそれがあります。ある企業のプラットフォームで不正利用に遭った顧客はその企業を信頼しなくなり、否定的なレビューを書き込むかもしれません。
業務コスト: 企業がカーディングに対抗するためには、セキュリティ対策、不正利用検知システム、不正利用関連問題を取り扱うカスタマーサポートへの投資が必須です。このコストは相当大きな金額になる可能性があります。
監視の厳格化: 不正利用の発生頻度が高いと、決済代行業者の監視が厳しくなり、結果として、手数料の引き上げ、要件の厳格化、加盟店契約の解除といった措置が取られるおそれがあります。
法令違反のリスク: 事業者は、PCI DSS (Payment Card Industry Data Security Standard)) などの規則を遵守しなければなりません。カーディングインシデントが原因で法令遵守を維持できなかった場合、罰金や法的制裁を科されるおそれがあります。
顧客への影響
口座からの不正な引き落とし: クレジットカード情報を盗まれた顧客は、身に覚えのない金額が自分の口座から引き落とされているのを発見するかもしれません。それらの顧客は、銀行やクレジットカード会社の協力のもとに不正な引き落としを差し戻し、口座を本来の状態に戻すために時間と労力を費やさなければなりません。この過程は時間がかかるだけでなく、精神的にも負担です。
なりすまし: カーディングは広い意味でのなりすましを引き起こす可能性があります。不正なアクターは、盗んだクレジットカード情報を使って新しい口座を開設したり、ローンを申請したり、その他の不正行為を犯したりします。
精神的苦痛: 身に覚えのない請求を発見し、カーディング被害の後始末をする過程は、顧客に精神的苦痛や不安を与えます。
クレジットスコアへの影響: 場合によっては、カーディングがらみの不正利用が顧客のクレジットスコアに影響することもありえます。特に、不正利用によって支払いが滞ったり、債務不履行が発生したりした場合です。
カーディング攻撃の歴史
初期の手口とインターネットの普及
初期のカーディング攻撃は、主に物理的手段を使ってクレジットカード情報を入手していました。不正なアクターは財布やバッグを盗んでクレジットカードを入手したり、ATM や POS 端末に装置を設置したりして、カードの読み取り時にカード情報を盗んでいました。2002 年頃には、スキマーの存在が報告されています。
インターネットの普及に伴い、カーディングの舞台はオンラインに移りました。フィッシングや企業データベースのハッキングなどの新たな手口が登場し、大量のクレジットカード情報を盗むことができるようになりました。フィッシングは 1990 年代頃から存在していましたが、インターネットの普及に伴い、 2000 年代初頭に発生件数が増加しました。
新テクノロジーの登場
自動化と最先端のソフトウェアにより、カーディングの手口はますます巧妙になりました。カーディングボットによってカードテスティングと検証プロセスが自動化されると、不正なアクターは活動の規模を広げ、不正行為をさらに短時間で実行できるようになりました。カーダー (カード犯罪者) はさらに分散型ボットネットネットワークを使うようになり、大量の盗難クレジットカード情報を一気に検証できるようになりました。複数の場所とIPアドレスにアクティビティーを分散させ、検出されにくくしたのです。
カーディングの巧妙化とともにセキュリティ対策も進化していきました。2010年代には Chip & PIN 技術が標準となり、クレジットカードのクローン作成が困難になったことから、カーダーはインターネットを主戦場として活動するようになりました。これに対し、E コマースプラットフォームは、疑わしいパターンや取引を発見するために機械学習と AI ベースの不正利用検知システムの導入を開始しました。自動 ボットによるオンラインシステムの不正利用を防止するため、CAPTCHA と多要素認証が導入されました。
カーダーはカーダーで、新たなセキュリティ対策やテクノロジーに対応しようと手口を常に進化させています。新たな手口としては、フォームジャッキング、合成 ID 詐欺 (盗んだデータを使って偽の ID を作成し、クレジットアカウントを開設)、アカウント乗っ取り (盗んだカード情報で既存のアカウントに不正アクセス) などが挙げられます。
Stripe Radar の特長
Stripe Radar は、不正利用を検知し、防止するため、Stripe のグローバルネットワークから入手したデータを活用して AI モデルをトレーニングします。不正利用の最新トレンドに基づいてこれらのモデルを常時アップデートし、不正利用の進化に先んじてお客様のビジネスを保護します。
Stripe はこのほか、Radar for Teams も提供しています。お客様は、自社のビジネスに特有の不正シナリオに対応するカスタムルールを追加設定できるだけでなく、不正利用に関する有益な情報にもアクセスできます。
Radar は、以下の場面でお客様をサポートします。
- 不正利用による損失の防止: Stripe は年間 1 兆ドル以上の決済額を処理しています。この規模でも、Radar は不正利用を正確に検知・防止し、お客様のコスト削減に貢献します。
- 売上の向上: Radar の AI モデルは、実際の不審請求データ、顧客情報、閲覧データなどに基づいて教育されています。そのため Radar は、リスクの高い取引を特定し、誤検知を減らし、売上を増加させることに特化しています。
- 時間の節約: Radar は Stripe に組み込まれており、設定にコードは一切必要ありません。また、単一のプラットフォームで不正利用の動きを監視したり、ルールを作成したりすることができるため、業務効率も向上します。
この記事の内容は、一般的な情報および教育のみを目的としており、法律上または税務上のアドバイスとして解釈されるべきではありません。Stripe は、記事内の情報の正確性、完全性、妥当性、または最新性を保証または請け合うものではありません。特定の状況については、管轄区域で活動する資格のある有能な弁護士または会計士に助言を求める必要があります。