« 闇の職安で 覚せい剤密輸
児ポリンクで逮捕 »

クレジットマスター


「クレジットマスター(CreditMaster)」で作ったクレジットカード番号を使い、カード番号と有効期限だけで決済できるインターネットショップで商品を購入した、大阪市の無職女(21)と知人の無職男(47)が窃盗と私電磁的記録不正作出・私電磁的記録供用などの容疑で逮捕された。

ネットショップでカードを使って買い物をしたことがある人はピンとくるだろうが、決済の手続きは、「名義人ローマ字」「カード会社」を選択し「カード番号」と「有効期限」を入力するものが一般的だ。「名義人ローマ字」の入力が不要なら、正しい「カード番号」と「有効期限」があれば、決済が成立するのである。

CreditMasterというのは、15年ほど前にUSで開発された解析ソフトの名前でもある。生きているカード番号から、番号生成のアルゴリズムを解析し、その法則に基づいて有効なカード番号を割り出すものだ。カードの有効期限も番号から割り出す。逮捕された男女も覚醒剤の売買を通じて10枚ほどのクレジットカードを手に入れ、クレジットマスターで60個を超えるカード番号を手に入れていた。
同名でカード番号を盗み出す spywareもある。
「クレジットマスター」というのは、既存のカードの番号を元に、その会社で使えるカードの番号を探しだし、持ち主になりすましてカード決済をする手口だ。

クレジットカードの番号は連続して発番されているわけではない。最初の4桁または6桁はカード会社を示す固有の番号で、それに続く番号は、ある規則に基づいて、性別や年齢などを組み合わせた乱数で構成されている。末尾番号は、Mod-10を使ったチェックデジットになっているともいわれる。 この法則にのっとって番号を作れば、正しいカード番号になるという道理である。

カードの有効期限も番号から割り出せるらしいが、カードの有効期限が5年だとすると60回試せば必ず当たるのだ。

カード番号の発番アルゴリズムを割り出す方法は、様々あるだろうが、おおよそ
  • そのカード会社の....
  • カード番号の....
  • それらの番号から....
  • または、発番アルゴリズムを
などの方法だろう。暗号の解読よりはたやすそうである。

カードには、カード番号のほかに、暗証番号とセキュリティコードがある。
暗証番号は、カードを発行するときに登録した番号。
セキュリティコードは、3桁の番号だ。4桁の会員番号とともに裏面サイン欄に印刷されている。

オンライン決済で、暗証番号とセキュリティコードの入力を必須にすれば、クレジットマスターの手口は役にたたなくなる。しかし、入力項目を増やすと、手間が増え面倒になるとして、ショップ側は入力項目の追加に消極的だ。
また、クレジットカードの被害はカード会社が被るもので、ショップには被害が及ばないことも、対応変更が進まない背景にある。

現在のネットショップにおけるクレジットカード決済はきわめて脆弱である。クレジットマスター以外にも、本人の振りをしてカードを使う手口はさまざまある。
根本的な対策が立てられない限り、まだまだこの種の犯罪は現れるだろう。
だが、ネットを仕組みを知らずに犯行に及ぶと、逮捕は必至である。


.....この記事書きかけ


07 Jul, 2009 | kobakn
« Prev item - Next Item »
---------------------------------------------

Comments


No comments yet. You can be the first!



Leave comments

このアイテムは閲覧専用です。コメントの投稿、投票はできません。