不正アクセスは上場企業も被害を受けている。IoT機器の販売を行うソースネクスト(東証プライム)は2023年2月に、第三者による不正アクセスを受けてクレジットカード情報11万2132件が漏洩したと発表した。

 岩井氏はまた、最新の手口での被害も増加傾向にあると話す。Bot(ボット)が総当たりで、クレジットカード番号の規則性に従って、他人の番号を割り出しているという。ボットとは、一定のタスクや処理を自動化するためにプログラムされたツールのことを指し、ロボット(ROBOT)から生まれた言葉である。

 仕組みはこうだ。

 クレジットカード番号はVISAやMasterCardといったブランドによって異なるものの、16桁の番号で構成されているのがほとんど。最初の6桁はブランドと発行会社の識別のためのもので、残り10桁をBotがしらみ潰しに番号を生成していく。

 ランダムに抽出した番号でカードが使えるか確認するために、ネットショップでBotが自動的に少額の決済を行う。そこで購入が承認された場合、そのカード番号を闇サイトなどで売買するという。業界団体の関係者によれば、詳細な手口は明らかになっていないものの、短時間でランダムに作られた数万件のカード番号の有効性が確認されているという。

 筆者が受け取った「広告経由含めた格安通販サイトでの決済での、カード情報入力懸念がございます」のメッセージと符合した瞬間だった。

クレジットカード情報の販売を持ちかけているとみられる書き込み(画像の一部をモザイク加工しています)
クレジットカード情報の販売を持ちかけているとみられる書き込み(画像の一部をモザイク加工しています)

●見通し甘い事業者が続発

 どうして不正件数が高止まりのままなのか。前出の岩井氏は、事業者側の実態についてこう指摘する。

「カード情報を抜き取る手口は年々変化していて、その変化に追いつけない事業者がいるのが実態です。オンラインショッピングを運営する事業者が直近1年間で、3社のうち1社がカードの不正被害にあっていると弊社の調べでわかりました。また、その事業者が年商10億円未満の場合、26.9%が対策をしていないことが明らかになったのです」

次のページ
セキュリティー対策が甘い場合、加盟店側が負担