この記事では、近年の社会では不可欠なクレジットカードについて、不正利用されるリスクを下げる方法、業務でもISMSといった企業のおける情報セキュリティ保護対応経験やIT技術サポート歴の長い筆者が解説します。
クレジットカードの情報
貴方は何枚もっていますか?
今の時代、高齢の方や大学生未満の方を除けば大抵一枚くらいはもっているし、もっていないととても不便なのがクレジットカードですね。
みなさんは何枚くらいお持ちですか?
あれと、これと、それと….3枚?4枚?…え?10枚?それはビックリ。
カードを使うのに必要な情報は?
カードを使うためには店頭のオンライン認証では必ず暗証番号が必要になります。
ネット通販では暗証番号は不要ですが有効期限が必要で、さらにカード裏面に印刷されている3桁のセキュリティコードが必要になることが多いですし、さらにカード会社のWebパスワードも必要になる3D認証も最近は増えています。
カード支払いをするためには、最高で以下の情報が同時に必要となります。
- カード番号
- 有効期限
- 暗証番号
- セキュリティコード
- Webパスワード
店頭でカードをIC読み取りさせると1〜3がセンターとの通信で照合されますが、4のCVVやCVSを店頭で読み取ったり、入力したりすることはありません。
一方通販では、1、2、4を必要とするのが普通で、厳しいところだと5を入れた3D認証が行われ、甘いところだと1と2だけで物が買えちゃいます。
カード不正利用の話
カードの不正利用には、カード番号や有効期限が最低でも必要ですが、実はクレジットマスターと言ってこれらの情報を生成してしまう手口があります。
クレジットマスターの恐怖
クレジットカード番号には記述誤りを検知するためのチェックディジットという桁が含まれておりますが、チェックデジット生成アルゴリズムはパブリックになっているアルゴリズムです。
ということは、ちょっとプログラミングスキルがあれば、チェックデジットによるチェックが通る番号を容易に生成できるわけです。
でも、有効期限は?
カードの有効期限は通常最長でも5年なので、12ヶ月 X 5年で60通り。
CVV/CVC(セキュリティ番号)は?
3桁ですから、000を含めても1000通りです。
すなわち、有効期限とCVV/CVCの組み合わせはたったの60,000通りしかありません。昨今のIT技術をもってすれば全く問題がありません。
ね、結構、セキュリティは甘いでしょう?
クレジットマスターはカード番号の規則性を悪用してカード番号を生成し、たったの60通りしかない有効期限との組み合わせを使って、総当たりで有効なカード番号を突き止め、それを裏に流す(売りつける)というものです。
クレジットマスターによる不正利用の怖さは、カード所有者が事前に予防措置をとって防ぐことは不可能だということです。
不正利用のリスクを減らす
私は常々このブログでは、こうしたセキュリティについて「リスクを減らす」という言い方をしています。
100%完全に安全な錠前が存在しないように、100%絶対のセキュリティなんてのは存在しません。
大切なのはリスクをどこまで減らせることができるかと、残ったリスクはどのようなものかをきちんと理解しておくことです。
最小限の枚数にする
あったらちょっと便利かもカード、めったに使わないカード、ポイント交換してマイルに変換するためだけの中間経路カードなどは管理をおこたりがちなので作らない、あったら解約したほうが良いでしょう。
必要だと考えるカードについては、買い物に使うか否かに関係なく、以下に書いている1カード1つのPIN(暗証番号)、1サイト1つのWebパスワードをきちんと守るようにしてください。
カード枚数が増えると、それだけ管理がおろそかになり不正利用されるリスクが高くなることを承知してください。
支払いの際、カードから絶対目を離さない。
日本では飲食店でもよほどの高級店でもない限りはレジ精算が一般的なのであまり問題ありません。
しかし、海外のレストランなどは要注意。カードと伝票を持って店員が奥に消えるようなところでは、カードの全情報を読み取られているかもしれません。
暗証番号は1カード1つ
非常に面倒ですが、暗証番号はカード1つについて独自のものを振りましょう。特に銀行キャッシュカードと同じにするのは厳禁です。
Webパスワードは1サイト1つ
これはいわずもがな。使い回しほど愚かなことはありません。
カード明細はすべての所有カードを頻繁にチェック
これはカード が多くなる程面倒ですね。普段使うカード はチェックするにしても予備カード なんてチェックしていないでしょう?
月1回では正直なところ少ないです。せめて毎週チェックし、心当たりがないものはすぐにカード会社に届ける。明細の頻繁なチェックはクレジットマスターへの唯一のリスク低減策です。
海外旅行の後は要注意
海外旅行で持ち出したクレジットカードは使った否かに関係なく、せめて数ヶ月は頻繁にWebログインして明細チェックを行ってください。
海外では可能な限りプリペイドカード を使う
いろいろありますが、たとえばJGW(JAL GLOBAL WALLETなど)。
条件があります。チャージにクレジットカードや銀行口座からのオートチャージは絶対に設定しないこと。
プリペイドカードを使うことで、漏洩した場合の被害も最小限にできますし、チャージしてある以上の金額被害は出ません。
特に、海外でカードが自分の視線外に行ってしまうレストランや店舗などでは悪用防止に非常に有効なので積極的な利用を勧めます。
JGWであればスマホから支払い時以外オフにしておけるので非常に安心度が高いです。
公共料金の支払いには通常プリペイドカードは使えないので、番号漏洩やクレジットマスター被害にあったとしても再発行時のワヤワヤも面倒は少ないです。
ECサイト(Web通販サイト)にはカード登録しない
ECサイトにカード登録するのはやめましょう。登録してあったら即カード 情報を削除してください。登録がないものは漏洩しようがありません。
普段使うカード 2つくらいなら、毎回入力するたびに覚えてしまえるものです。
スキミング対応財布を使う
何もしなくてももバッグの外からIC情報を盗まれる可能性もあります。そんなことは絶対ありえないという論拠は存在し得ません。
RDIS Safeに対応したスキミング防止の電磁シールド素材を生地の中に使った財布やカード 入れが有効です。
まとめ
- クレジットカード不正利用には、カード 情報漏洩とカード 情報生成のクレジットマスターの2通りがある。
- 支払い時にはカード から絶対目を離さない。
- 暗証番号は1カード 1つ、Webパスワードは1サイト1つ。
- 毎週すべての所有カードのWeb明細チェックをする。
- 海外ではJAL GLOBAL WALLET(JGW)のようなプリペイドカードを使いオートチャージは絶対に設定しない。
- Web通販サイトにはカード情報は登録しない。
- 海外旅行には最小限のカードを持ち、帰国後数ヶ月は使ってるか否かに関わらず全てのカードについて毎週のWeb明細チェックを欠かさない。
- スキミング防止のため、RFID Safe対応のカード入れや財布を使う。