クレジットカード情報流出事件【アメリカ編】
クレジットカード発祥の国でもあり、カード先進国でもあるアメリカで、大規模なクレジットカード情報流出事件が起きています。
事件規模は日本の比ではなく、約4,000万人分のクレジットカード情報が流出したと発表されています。
ハッキング事件そのものはアメリカではそう珍しいことではありませんが、この事件はハッキングではなくスキミングによる事件であり、アメリカ史上最悪の事件と言って良いでしょう。
事件が起きたのは2013年に遡りますが、今回改めてその事件内容と対策を再検証してみたいと思います。
アメリカ最大のチェーン店「Target」約4,000万人が被害
事件が起きたのはアメリカ最大のチェーン店「Target 」(ターゲット)です。被害に遭ったのは約4,000万人と驚く数字です。
どのような事件内容だったのか、そしてその後の対策はどうなったのか!?ひとつづつ再検証してみましょう。
犯行期間も驚くほど最短!11月27日から12月15日と1ヵ月足らず
犯行期間も11月27日から12月15日と1ヵ月足らずで、驚くほど短い間となっています。わずか19日の期間で約4,000万人ですから、1日で約210万人が利用していた計算になります。
- 犯行はクリスマス用品を大量に買い込む時期を狙った
- 大勢の客が出入りするので、セキュリティチェックが甘くなった
ハッキングでなくスキミング!全てのPOSレジに細工された
今回の事件の稀な特徴は、顧客データーを保管してあるサーバーをハッキングされたのではなく、店頭の全てのPOSレジにスキーマーを設置しスキミングされたことです。
- 消費活動が盛んになるブラックフライデーに合わせた犯行
- 全ての店頭のPOSレジにスキーマーを細工していた
- 数千台のPOSレジに細工しているので組織的な犯罪と考えられる
この事件で盗まれたクレジットカード情報は次のとおりでトラックデータの全てとなり、偽造カードは作り放題できる状況になったのです。
- 名義人
- カード番号
- 有効期限
- セキュリティ番号
この4つのデータがあれば、完璧な偽造カードを作ることができますね。なにせカード情報全てなのですから。
磁気ストライプ型の脆弱性をついた犯行
事件が起きたのは2013年ですから、当時はまだクレジットカードはIC化されておらず、磁気ストライプ型でした。
- 磁気ストライプ型のカードはスキミングが容易
- 離れていても、情報をスキミングすることが可能
- 今回は、直接読み取っているのでデータの鮮度は抜群
POSレジからダイレクトに読み取っているので、データの鮮度は抜群です。スキミング犯罪のデメリットはデータ鮮度の悪さにあり、盗んでも使えないケースもありますが、今回は全くデメリットが存在していません。
警告したのは「Target」でなく外部のセキュリティ専門家
この事件が発覚したのは「Target」からでなく、外部のセキュリティ専門家であるジャーナリスト「Brian Krebs」(ブライアン・クレブ)からでした。
クレジットカード情報流出の発見経路はいつも同じです。流出した側でなく顧客を含む外部の指摘で発覚するのが常となっています。
これは流出側には脆弱性と言うリスクを、見抜けない状況にあるからでしょう。なにせ、システムやサーバーの脆弱性は目に見えないところに潜んでいます。完璧と思って利用している側にとっては、不測の事態とも言えますからね。
あと、暗証番号も手で隠して入力するようにするとスキミングを防ぐことができますよ。
「Target」事件後のアメリカの対応!カードIC化を加速させた
事件の状況はここまでお伝えしたとおりです。狙われたのは磁気ストライプ型の脆弱性でした。当然この事件は「Target」だけの問題に留まることなく、アメリカ国家全体の問題として捉えられました。
では、その後どのような対策が取られていったのかを見てみましょう。
2016年公表の日本クレジットカード協会の資料から読み取ってみる
「Target」の事件後、どのような対策が取られたのか具体的かつ信頼できる情報を入手することはできませんでした。
「Target」が呼び掛けているのは、顧客に対してカードの利用状況を頻繁にチェックして欲しい!と言うことだけです。
そこで、日本クレジットカード協会が2016年に公表している「IC化に関する諸外国調査結果」資料から読み取ってみました。
アメリカは国家レベルでクレジットカードIC化を推進している
| カードIC化 | 5.7億万枚 |
|---|---|
| 決済端末IC化 | 47% |
| Chip-on-Chip取引シェア | 29% |
これは、2015年12月までの目標数値です。日本クレジットカード協会ではアメリカのICカード化が進めば、ICカード化されていない国への被害を懸念して調査しています。
Chip-on-Chip取引とは、高速伝送できる新技術を用いた取引のことで、簡単に言うと現在おサイフケータイとして利用されているApplePay(アップルペイ)がもっと小型化して決済スピードも速くなるとイメージしてもらうと良いでしょう。
アメリカのIC化タイムラインは確実に行われている
上記はアメリカのICカード化へのタイムラインですが、2017年にIC化を完了させる目標となっています。
実際には、2017年時点では完全なICカード対応はできていない状況でしたが、2018年2月時点ではほぼ完了していると考えて良いでしょう。下記の図は先のタイムラインの実態を表したもので、2018年時点では目標達成しています。
2013年にクレジットカードセキュリティ対策の一環として大統領令が発布され、2017年9月末を目標としICカード化を進めています。
クレジットカードIC化になれば、「Target」事件は起きない!?
- ICカードはスキミングがほぼできないカード
- カード自体を盗まない限り偽造できない
- 「Target」事件のようなスキミング事件はなくなる
クレジットカードが100%IC化され、対応するPOSレジもIC対応となれば、「Target」事件のようなスキミング犯罪は起こらないでしょう。
経済産業省が心配しているのは、犯罪者が磁気ストライプ型を利用している国に移動してくる可能性を危惧しているのです。
ただ、販売店のICカード対応が間に合うかが問題視されていますね。
セキュリティ対策に優秀な3枚のクレジットカードをご紹介
アメリカのクレジットカード情報流出は、スキミングだけではありません。サーバーへの不正アクセスを行いカード情報を盗み出す事件も多発しています。
ただ、その場合利用者への実質的被害は「ゼロ」となりますので安心です。ですが、利用するカード自体がセキュリティ対策に優れているに越したことはありませんからね。
そこで、本サイトがおすすめする、セキュリティ対策に優秀な3枚のクレジットカードをご紹介しておきましょう。
JCB CARD W / JCB CARD W plus L!JCBが誇る安全
最初にご紹介するカードは、JCBが発行する「JCB CARD W / JCB CARD W plus L」です。このカードはJCBが誇る次のセキュリティがおすすめの理由ですね。
- 不正感知システムでカード利用をストップ
- 24時間365日モニタリングしているのでいつでも安心
- カード利用のパターンを分析して第三者の利用を素早く検知
- 本人認証サービス「J/Secureワンタイムパスワード(TM)」
- スマホアプリで発行される1回限りのパスワード
- スマホとセットでないと決済できないので成りすましを防止
JCB CARD W / JCB CARD W plus Lは年会費無料で還元率も通常カードの2倍(1%)と高還元で人気のクレジットカードです。
年会費無料にも関わらず、海外ショッピング保険や海外旅行保険も付帯する上、様々な優待サービスが利用頂ける大変お得なクレジットカードですから、メインカードとしても大活躍してくれることでしょう。
| カード名称 | JCB CARD W / JCB CARD W plus L |
|---|---|
| 国際ブランド | JCB |
| 年会費 | 無料 |
| 申し込み資格 | 高校生を除く18歳以上39歳以下 |
| 海外旅行傷害保険 (利用付帯) |
死亡・後遺障害:最高2,000万円 傷害治療費用:最高100万円 疾病治療費用:最高100万円 携行品損害:最高20万円(1旅行) 賠償責任:最高2,000万円 救援者費用等:最高100万円 |
| 国内旅行傷害保険 | 付帯なし |
| ショッピングガード | 最高100万円(購入日から90日間) |
| 追加カード | 家族カード・ETCカード |
| 電子マネー | QUICPay |
| ポイント | Oki Dokiポイント 1,000円=2ポイント(10円相当) |
| 特典 |
通常のJCBカードの2倍のポイント付与 ネットショッピングで最大20倍 JCB CARD W plus L 限定サービスあり ・「キレイ」のプロたちが本気でサポートする「LINDAリーグ」 ・WEBで簡単申し込みできる「女性疾病保険」 ・選べる4つの保険「お守リンダ」 |
三井住友VISAクラシックカード!顔写真で本人確認できるカード
2枚目にご紹介するカードは、三井住友カードが発行する「三井住友VISAクラシックカード」です。このカードのセキュリティは「顔写真入り」であるところが、おすすめの理由ですね。
- 一目で本人と判るので安全性が格段にアップ
- カードを紛失しても、店舗利用はできない
- 顔写真入りでも手数料は無料
| カード名称 | 三井住友VISAクラシックカード |
|---|---|
| 国際ブランド | VISA・MasterCard |
| 年会費 | 初年度無料 次年度1,250円(税別) マイ・ペイすリボ申込+利用=次年度年会費無料 |
| 申し込み資格 | 高校生を除く18歳以上 |
| 海外旅行傷害保険 (利用付帯) |
死亡・後遺障害:最高2,000万円 傷害治療費用:最高50万円 疾病治療費用:最高50万円 携行品損害:最高15万円 賠償責任:最高2,000万円 救援者費用等:最高100万円 |
| 国内旅行傷害保険 | 付帯なし |
| ショッピング補償 | 最高100万円(購入日から90日間) リボ・分割(3回以上)利用に限る |
| 追加カード | 家族カード・ETCカード・バーチャルカード |
| 電子マネー | iD・PiTaPa・WAON |
| ポイント | ワールドプレゼント 1,000円=1ポイント(5円相当) |
| 特典 |
実質年会費無料 最短3営業日で発行可能 |
エポスカード!バーチャルカード発行でネットショッピングも安心
最後にご紹介する3枚目のカードは、エポスカードです。このカードはインターネットショッピング専用の「バーチャルカード」が発行される点が、セキュリティに優れています。
- 本体カードでなくバーチャルカードでショッピングできる
- 実際のプラスティックカードでなく、WEB上で発行されるカード
- 万一の不正利用でも本体のカード番号は盗まれない
- ショッピング毎に利用可能額を設定できるので安心
| カード名称 | エポスカード |
|---|---|
| 国際ブランド | VISA |
| 年会費 | 永年無料 |
| 申し込み資格 | 高校生を除く18歳以上 |
| 海外旅行傷害保険 (自動付帯) |
死亡・後遺障害:最高500万円 傷害治療費用:最高200万円 疾病治療費用:最高270万円 携行品損害:最高20万円 賠償責任:最高2,000万円 救援者費用等:最高100万円 |
| 国内旅行傷害保険 | 付帯なし |
| エポスお買物 あんしんサービス (有料) |
最高50万円(購入日から90日間) 年間1,000円(税込) |
| 追加カード | ETCカード・バーチャルカード |
| 電子マネー | モバイルSuica・Edy(スマホ利用) |
| ポイント | エポスポイント 200円=1ポイント(1円相当) リボ・分割の場合200円=2ポイント |
| 特典 |
全国の飲食店で割引や特典あり 遊園地の入場割引 カラオケ割引 美容院やネイルで割引 スパ・温泉で割引 舞台・イベントのチケット招待 レンタカー・カーシェアで割引 旅行予約・出発でポイントアップや特典あり 即日発行に対応 |
暗証番号を誕生日や車のナンバーと同じに設定していると、補償を受けれないので気を付けてください。
アメリカは政府・国民も真剣にICカード化に取り組んでいる
カード会社がICカードへ切り替えるのは難しくありませんが、カードを取り扱う店舗がICカード対応のPOSレジを導入しなければ意味がありませんね。
その点からみれば、「Target」事件のような被害に遭いたくないと、国民も協力してICカード化を進めたのでしょう。
今ではイエローキャブの中にも、ICカード対応の端末が備わっていますからね。最後になりますが、ICカードになっても自己防衛は忘れてはいけませんよ。できれば記事内で紹介した、セキュリティに優れたカードを選んでくださいね。
