お金の出入り口を狙った「決済詐欺」攻防の歴史
カード偽造からフィッシング、CEO詐欺まで
ゴットフリート・レイブラント : SWIFT社 元CEO / ナターシャ・デ・テラン : SWIFT社 元コーポレートアフェアーズ部門責任者
2022/10/11 東洋経済オンライン
銀行強盗や振り込み詐欺など、昔から犯罪者達は大金を求めて、お金の出入り口である「決済」の現場に目を光らせている。もちろん、守る側もただ黙って指をくわえているわけではなく、そこには激しい攻防を繰り広げてきた歴史がある。
決済オタクであり、S W I F T(国際銀行間通信協会)の元C E Oでもあるゴットフリート・レイブラントの新刊『教養としての決済』(ナターシャ・デ・テランとの共著、大久保彩訳)から、カード業界を例に、詐欺師と業界との攻防の歴史を解説する。
ドラマ『ペーパー・ハウス』は時代錯誤
ネットフリックスの人気ドラマシリーズ『ペーパー・ハウス』では、「プロフェッサー」と よばれる首謀者が遠隔で指揮をとりながら、さまざまな分野に強みをもつ泥棒の集団が、スペインの王立造幣局──通称「カサ・デ・パペル」(「紙の家」という意味で、スペイン語版の原題にもなっている)──に侵入する。
泥棒たちは、警察が予想したようにたんに戦利品をつかんで逃げるのではなく、人質たちとともに立てこもり、印刷機(そしてこのドラマシリーズ)を動かし続ける。
11日間そこにとどまり、追跡不可能な紙幣を24億ユーロ印刷することがかれらの目的なのだ。
この筋書きは独創的でドラマチックかもしれない。
しかしその巧妙さとは裏腹に、この強盗は実にアナログなものだ。
デジタル社会の現代において、「プロフェッサー」ほど創意にあふれる人物の手口とは思えない。
決済の分野では、サイバー犯罪との戦いが以前から大きな課題となっているのだ。
画面上であれ実生活においてであれ、アナログ決済もデジタル決済も、盗難や詐欺のリスクをはらんでいる。
なぜなら決済はお金の出入り口だからだ。
決済は城の跳ね橋のようなもので、橋が下りているときには、どんな難攻不落の城でもその全体が攻撃に対して脆弱になる。そして跳ね橋のように、攻撃のリスクを管理することも、各決済手段の役割の一つである。
しかし、泥棒や詐欺師は創意に富み、知恵の回る連中であり、テクノロジーに関して優位に立つことでアドバンテージが得られると知っているのだ。
その一例としてカード詐欺を見てみよう。
カード業界VS.カード詐欺業界
カード詐欺の業界は、カード業界そのものとまったく同じように、活気に満ち、絶えず変化している。
そして、デジタル時代に合わせてアップデートされてきた。
初期の厚紙製のカードは複製が簡単で、カード保有者のサインを捏造するのもさほど難しくはなかった。
エンボス加工されたプラスチック製カードが登場すると、犯罪者たちはゴミ箱から古いカーボン紙の伝票を回収し、そのデータを使って偽のカードを作成した。
クレジットカードに磁気ストライプが搭載されたときには、ストライプにふくまれる情報はエンボス加工でカードに記された文字と同じであることをすばやく突き止めた。
それゆえかれらは、引き続きゴミ箱から古いカーボン紙の伝票を回収し、偽のカードの磁気ストライプにそのデータを入力するだけでよかった。
対策として、カード会社は3桁のCVV(カード照合値)コードを磁気ストライプ──カードそのものではなく──に追加した。これは店頭では機能したが、電話越しではうまくいかなかった。
ユーザーは自分のカードの番号と有効期限を伝えることはできたが、CVVコードはわからなかったからだ。
そこでカードネットワークは2つ目の3桁のコード、CVV2を追加しなければならなくなった。
CVV2はカードの裏面に印刷された。
これによってCVV2のカードを持っている人は自分のコードを販売店に伝えることができるようになったが、そのコードはエンボス加工されていなかったのでカーボン紙の写しには表示されなかった。
ゲームオーバー?
まったくそんなことはない。
詐欺師たちは、紙の伝票を読む方法から、磁気ストライプ(CVVコードをふくむ)を「スキミング」する方法へとすばやく移行した。
たとえば、店舗の端末やATMに小さな読み取り装置を取り付けることによって。カード業界はチップ(磁気ストライプよりもコピーするのが難しい)をカードに搭載することで対応した。
また、かねて詐欺に利用されやすかったサインの代わりにPINコードを導入した。
カード業界が防御策を講じると、詐欺師たちは規模を拡大し、販売店のコンピューターシステムをハッキングするようになった。
オンラインでのリピート購入を促進するために保存されている、顧客のカード情報が狙いだった。
アメリカの巨大小売店、ターゲット(今となっては、良い名前には思えない)が2013年にハッキングされたときには、犯罪者たちは4000万枚のクレジットカードおよびデビットカードの情報と、さらに7000万人の顧客のデータを入手した。
カード業界は、トークン化で対抗した。
これは、機密性の高い口座情報を、固有の一時的なデジタル識別子──「トークン」──に置き換え、オンラインや店舗やアプリで使用できるようにするものだ。
これにより、実際の口座情報を開示することなく、決済を処理することができる。
このような「ハード」面の対策に加えて、銀行とカードネットワークは不正取引を特定するためのパターン検出もおこなっており、そこではアルゴリズムがますます重要な役割を果たすようになっている。
結果として、カード業界は、不正行為をカード支出全体の0.1〜0.2% 程度になんとか抑えている。
これは、このような損失をはるかに上回る利幅を享受している業界にとっては容易に吸収できる額であるが、つねに犯罪者たちに後れをとらないようにしていく必要がある。
新しい決済詐欺、フィッシング 一方で最近では、メールやソーシャルメディアを利用した詐欺にも対処しなければならない。 メールの登場によって、詐欺師はかつてないほど多くの人々に接触できるようになった。
何千もの潜在的なターゲットに接触するなかで、必然的にかれらはそれなりの人数をだまし、ユーザーネームやパスワード、クレジットカード情報などの機密情報を提供させている。
「フィッシング」とよばれる行為だ。
ソーシャルメディアが登場すると、フィッシングはひとつ上のレベルに引き上げられた。
「スピアフィッシング」では、詐欺師はより正確に被害者に狙いをつけることが可能になった。
特定の個人や組織にカスタマイズされたメッセージを送り、悪意ある目的のためにデータを盗んだり、ユーザーのコンピューターにマルウェアを植え付けたりするのだ。
とりわけもうけが大きいのは、「エグゼクティブホエーリング」あるいは「CEO詐欺」とよばれる手口である。
犯罪者は、ターゲットが属する組織の幹部社員をよそおって不正なメッセージを送り、社員をだまして、多額の支払いをおこなわせたり、機密情報を開示させたり、コンピューターシステムのアクセス権を付与させたりするのだ。
ソーシャルメディアは情報の精度を高める機会を与えている。
たとえば、フェイスブックやリンクトイン(LinkedIn)を調べることで、CEOが長時間のフライトに乗るのはいつか、上級役員たちがそろって会議に出席するのはいつか、(指示に疑問を抱く可能性が低い)新入社員を狙えるのはいつか、といった情報を入手できることがあるのだ。
シリコンバレーのスタートアップ企業、ユビキティ・ネットワークス(Ubiquiti Networks) は、2015年にこの手の詐欺に見舞われた。
当時、着任してわずか1カ月だった最高会計責任者(CAO)が、創業者兼CEOから、またロンドンの法律事務所の弁護士からと称するメールを受け取った。
そのメールの差出人は、ユビキティは極秘の買収をおこなっているのだと説明し、海外の銀行口座に電信送金をおこなうようにこのCAOに指示を出した。
彼は17日間にわたり、ロシア、中国、ハンガリー、ポーランドの口座に14回の送金をおこなった。
総額は4670万ドルにのぼったが、その大部分は二度と戻ってくることはなかった。
同社がはじめてこの詐欺に気がついたのは、一部の取引がおこなわれた香港の口座を監視していたFBIから警告を受けたときだった。
私がCEO詐欺を回避できた理由
もちろん、このような被害を受けたのはユビキティだけではない。ほかにも、アメリカの決済送金サービス会社ズーム(Xoom、2015年に3080万ドルの損失)、オーストリアのFACC(2016年に5000万ユーロの損失)、ベルギーのクレラン銀行(2016年に7000万ユーロの損失)、ドイツのレオニ(2016年に4000万ユーロの損失)、フェイスブック(2017年に1億ドルの損失)、グーグル(2017年に2300万ドルの損失)など、数多くの被害者が存在する。
私がスウィフト(SWIFT)のCEOを務めていたとき、会社の財務担当者宛に、私をよそおった詐欺メールが届いた。
スウィフトの当時のCFOはフランス語を母語としていたが、その詐欺メールを発見し、痛烈な申し添えとともに私に注意を呼びかけた。
「ゴットフリートさん、あなたがフランス語を話せることは知っていますが、これがあなたからのメールであるはずがない。フランス語が完璧ですから──アクセント記号までばっちりです」
