実は危険？クレジットカードが「総当たり攻撃」にさらされている衝撃の事実

クレジットカードは意外なほど脆弱です。実は、自動化されたツールを使うことで、カード番号や有効期限、セキュリティコードを総当たり（ブルートフォース）で推測する攻撃が可能だということが分かっています。ネットショッピングをする際は、信頼できるサイトかどうかを今一度確認し、セキュリティ意識を高く持つことが重要です。

オンライン決済用に別のカードを作って、その都度支払い分だけチャージしておくのがいいと思うんだけどね。

まあ、自分が甘いのはわかってるんだけど :)

記事の話に戻るけど、弱点は3Dセキュアを導入していない別の加盟店に繋がるパスワードだったことだね。

記事を見る限り、悪意のある連中は完全に自動化されたシステムを使ってるみたいだから、大手の加盟店は同じIPアドレスからの異なるアカウントでの自動ログイン試行を制御すべきだね。うちのWordfenceのログを見てると、IPローテーションはそんなに速くないから、恒久的なIPブロックで対応できそうだよ。

昔、うちの会社で雇った社員が、ギフトカードの残高を増やす方法を見つけたって自慢し始めたことがあったんだ。後でわかったんだけど、そいつはFBIの捜査対象になってた。政府の請負業者だったから、今まで見た中で一番でかいセキュリティガードがやってきて、そいつを連れ出していったよ。

決済代行会社は、カード番号を片っ端から試すようなカードエニュメレーション（カードテスト）を許してないよ[1][2]。それに、カードブランド側も対策を講じない加盟店や決済代行会社には厳しいペナルティを科すことになってるんだ[3]。

関連する話なんだけど、投稿者は的外れなことを追っているんじゃないかと気になった。最近、クレジットカードにFB/Meta名義の少額の身に覚えのない請求が来たんだ。たぶん誰かが気づかれないようにカードをテストしてたんだろうね。カード会社に電話して、請求を取り消してもらい、カードを解約して新しいカードを送ってもらうことにした（5〜7営業日）。ところが、未使用の新品カード（番号、有効期限、CVVも全部新しい）に変えたのに、また不正利用（これもFB/Meta）が再開されたんだ。なんでそんなことが可能なのか？答えはデジタルウォレットだよ。カードを解約しても、デジタルウォレット経由でカード番号などが引き継がれてしまうんだ。またカード会社に電話して、今度は「すべてのデジタルウォレットを解約してくれ」と伝えた（なんと99個もあった！）。これ、オンラインじゃ絶対に無理で、コールセンターの人と直接話さないといけない。担当者から「自動引き落としが全部解除されて、すべての加盟店で再設定が必要になりますよ」というお決まりの説教を聞かされる羽目になる。「わかってますから、カードもデジタルウォレットも全部解約してください！」って頼んで、そこから20分待たされる（何やってるんだろ？手作業で全部削除してるのかな？）。学んだ教訓は、クレカを解約したからといって安心はできないってこと。あと、継続課金ってめちゃくちゃ儲かるビジネスだから、解約されるとかなりの損失になるんだろうね。（文法修正済み）

消費者として、自分は安全だと思ってた。何十億ドルもの価値がある欧州の加盟店にカード情報を保存したり、スーパーで買い物してレシートを無視したりしてもね。でも現実は少し違った。

チャージバック（支払い異議申し立て）ですぐにお金は戻ってきたけど。

というわけで証明された通り、君は不正対策のインフラによって守られているんだよ。銀行がその損失を肩代わりして、君の被害は補填された。結局のところ、銀行システムは不正による損失を重視しているし、不正を見つけ出すことにかけては極めて優秀だよ。カード決済システムの変更は、システムの規模が膨大すぎるせいで非常に困難なんだ。だから、特定の変更が不正率をどれだけ改善するかという確固たる根拠がない限り、銀行はその変更を行わないという選択をするのさ。

バーチャルクレジットカードはもう何年も前からあるよ。Bank of AmericaかCitiが15年以上前に提供してたのを覚えてる。Javaアプリかスタンドアロンのexeだった気がする。もっと普及しなかったのが不思議だ。

Robinhoodのやり方は完璧だね。今まで使った中で最高のバーチャルカードシステムだよ。本当にシームレス。使い捨てのワンタイム用、24時間限定、あるいはキャンセルするまで無期限、といった具合に認証できる。UI/UXが最高なんだ。

もし世界中で3Dセキュアが必須になればかなり助かるはずだけど、僕の理解が正しければ、アメリカではあまり使われていない。アメリカ市場はあまりに巨大だから、カード発行会社も3Dセキュア非対応のリクエストを許可せざるを得ないんだろうね。そうしないと顧客がカードを使えない場所が多すぎて困るから。

つまり、非常に優れた不正防止メカニズムが、そのせいで台無しになっているんだ。

それ以外の世界の人間にとっては本当にフラストレーションが溜まる話だよ。

理解できないのは、アメリカの人たちは少々の不便を強いられることより、騙される方を選ぶのかい？

被害に遭っていない人だって、結局はすべての加盟店が不正コストや保険料を商品の価格に上乗せしているせいで、不正の代償を払わされているのに。

最近、銀行から妻のカードで海外の疑わしい取引があったというSMSが届いた。金額は文字通り0ドルで、妻がスマホもPCも使っていない時間帯だった。

最初はフィッシング詐欺かと思ったけど、ネットで確認したらSMSのフォーマットは本物と一致していたし、銀行のウェブサイトを見ても入力情報を求められないプロセスだったので、私たちは購入していないことを確認する手続きを進めた。

銀行は即座にカードを停止して、新しいカードを送ってくれたよ。

最初は銀行のセキュリティが過剰反応してるのかなと思ったけど、この記事に書かれているようなことを誰かがやっていて、銀行がそれを早期に検知しただけなんだろうね。

このブログは一番肝心なところを語っていないね。

決済（Settlement）、つまり銀行があなたの口座から（この場合はカードの負債を増やして）加盟店へお金を送ることに合意するプロセスは、*認証（Authorization）*とは完全に別物なんだ。

認証っていうのは、今のEMV（チップとPIN）認証とか、オンライン決済のCVV、あるいは銀行が自分たちを不正から守り、あわよくば加盟店も守ろうとするその他のメカニズムのことだ。

ネットワーク側は、Amazonが「ここにカード番号がある、400ドル支払うと言っている」と言えば、それを完全に受け入れるんだ。それは単なる「決済」であって、あなたの請求書に載るだけ。複雑な暗号技術も、4桁のPINのような賢い仕組みも、母親の旧姓を聞くようなことすらなく、ただ「OK、信じるよ」って感じ。つまり、消費者であるあなた自身がクレジットカードの利用明細を読んで、身に覚えのない請求に異議を唱えない限り、支払わされることになるんだ。

ネットワーク側には、あなたが騙されても気にしなければならないインセンティブがほとんどない。あなたが異議を唱えなければ全員ハッピーで、もし異議を唱えれば加盟店からお金を回収するだけ。彼らには何の問題もないんだから。

絶対にその通りだと思う。面白い例を出すと、Revolutが数年前に日本でローンチした時、爆発的な成功を収めた時期があった（特に移民コミュニティの間で）。だから、その時期のカードのほとんどは、同じ有効期限の月で、同じIIN（日本特有のものだと思う）で発行されていて、エントロピーが非常に低かったんだ。それが原因で、3Dセキュアを要求しない加盟店（Uberなど）を介したブルートフォース攻撃に繋がってしまった。ある一つのコミュニティ（約1500人）の中だけでも、カードを一度もオンラインやオフラインで使っていないにもかかわらず、カード情報が流出した事例が100%確実に何件も確認されたよ。

すべての場合において、Revolutは迅速に返金処理を行い、最終的には日本市場向けにカードを完全に再発行する対応を取った（エントロピーの問題をどう解決したのかはわからないけど、おそらく有効期限をランダム化したか、IINをもっと分散させたんじゃないかな）。