Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

本人認証をするということ

お得な情報には裏がある事は中国人旅行客も知った上で行動しているものと、この記事を読んで思いました。

tech.nikkeibp.co.jp

 「不正トラベル」と呼ばれるネット詐欺の被害が急増している。産官学連携のサイバー犯罪対策組織である日本サイバー犯罪対策センター(JC3)によると、2017年の被害額は50億円以上になるという。不正トラベルとは、フィッシング詐欺やウイルス(マルウエア)などを使って盗んだ他人のクレジットカード情報を悪用するネット詐欺の一種。旅行をしたいと考えている第三者(以下、旅行者)を巻き込むのが特徴だ。

(日経XTECH記事より引用)

 

◆キタきつねの所感

日本の古きよき文化、オモテナシ的な「性善説」とクレジットカード偽造は保障対象・・・という思い込みが、日本だけ狙われる背景にある気がします。

 

元情報はこちらですね。図があったので引用させてもらいますと、、、

注意情報|一般財団法人日本サイバー犯罪対策センター

 

図 不正トラベルの手口の実態

流れとしては、日本人のクレジットカード情報が盗まれ、その番号が旅行サービス(EC加盟店)で使われます。そうして決済が成立した情報を持って、旅行者が日本に来て、宿泊施設等に泊まるという感じでしょうか。

 

この問題は、まずカード保有者(被害者)がクレジットカード情報を窃取されてしまっている所、例えばマルウェアやフィッシングサイトが影響しているかも知れません。ここを取られないようにする事が重要です。

とは言え、カード保有者が防ぎきれず、カード情報を取られてしまった場合もあるかも知れません。その次の問題点は、旅行サイトが盗まれたカード情報だと検知できない部分です。

旅行サイトが犯人とグルな可能性もありますが、クレジットカード名義人(日本人)と、宿泊者(中国人)が違うのに決済は成立させるここに最大の問題があります。少なくても怪しいと思って確認を取る(3Dセキュア等の追加認証)べきであり、そうでなければ旅行サイト側が責任を回避していると言われても仕方がないのではないでしょうか。

 

 

宿泊施設側には決済が終わっている情報しかこないかと思うので、難しいかも知れませんが、実際に日本の宿泊施設に泊まろうとしている中国人旅行客は、『不正』(お得な情報)には薄々気づいているものと思います。日本の宿泊施設がパスポートのコピーと予約者名(決裁情報)と付け合せする事でも、ある程度こうした犯罪(チャレンジ)は防げるのではないかと思います。

 

 

スキミングのイラスト

 

更新履歴

  • 2018年10月27日PM(予約投稿)