Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

元ミスユニバース出場者が犯したミス

つぶやいてみた。

他人のカードを不正利用する事は犯罪ですが、元ミスユニバースシンガポール出場者のeスポーツ(Dota2)キャスターは2,000SD(約16万円)の為に仕事も友人も失うと見られています。

www.straitstimes.com

シンガポール-友人のデビットカードの詳細を記憶し、これらを使用してオンラインで2,000ドルを費やしたミスユニバースシンガポールの出場者は、木曜日(2月11日)に6週間の懲役刑を言い渡されました。

アシュリー・リタ・ウォン・カイ・リンさん(27歳)は、昨年12月に、許可なくコンピューター上の資料にアクセスした4件の罪で有罪を認めました。料金は合計で約1,000ドルでした。

(中略)

2017年にミスユニバースシンガポールの出場者だったシンガポール人は、ボーイフレンドとの別れの後、2016年に犯罪を犯しました。

彼女の犠牲者の1人は友人でした-アンドリュー・リムさん、28歳。彼が財布をテーブルに置いたままになっていることに気付いたとき、彼女はデビットカードを取り出し、詳細を覚えてから財布に戻しました

2016年9月7日から9月24日の間に、彼女はこの情報を使用して、LazadaSingaporeなどのプラットフォームで合計700ドルを超えるオンライン購入を行いました。

(Straitstimes記事より引用)※機械翻訳

 

キタきつねの所感

シンガポールのローカルニュースが気になりました。世界の平均年収ランキングではシンガポールは12位/59,590ドル(※日本が27位/41,710ドル)とアジアではマカオに次ぐ平均年収所得がある中で、出稼ぎではなく仕事を持っている方であれば、経済的にそこまで不自由しているとは思えませんが、”内部犯行”にはそれなりの理由があったのかも知れません。

 

今回判決を受けた元ミスユニバース2017出場者は、(当時)タワーディフェンス型ゲームのDota2(eゲーム)の解説をしていた様で、2019年の実況動画がありました。ゲームキャスターとしてあるいはインフルエンサーとして活動していたAshley Rita Wong氏(27)は、4件の罪で有罪となり、6週間の懲役刑が科されました。

youtu.be

 

「どうやってカード番号を窃取したのか」が気になったのですが、別な記事にはもう少し詳しく書かれていたので、こちらを引用すると、

彼女は最初の犠牲者となる28歳の男性と「社会的に出て行った」。彼女は彼氏と別れた後にそうしました。犠牲者が彼女と一緒にいる間、彼女は彼らが食事をしているテーブルに彼が残した財布をライフル銃で撃ちました。彼は洗面所に行き、彼女は彼のカードに番号を覚えていた

彼女は彼のアカウントを20回以上使用しました。彼が不正取引を発見したとき、彼女は2016年8月から9月の間にすでに使用していました。彼女はチケットに304ドル、Lazadaに230ドル、オンラインファッションストアで196ドルを費やしていました。

最初の被害者は彼の銀行との1つの取引に異議を唱え、それを返金し、彼女は使用したお金を返しました。

彼女が犠牲にした2番目の友人は26歳で、父親が1,000ドルを送金した後も、カードを使おうとするとバランスが不十分であることがわかりました。この犠牲者は最初、彼女の元ボーイフレンドがホテルクローバーに支払われた264ドルの請求に責任があると疑っており、その問題についてウォンに打ち明けさえしました。

 (Alvinology記事より引用)※機械翻訳

 

1件目は彼女の元ボーイフレンドのカード番号を不正に覚えたケースです。2016年ですので、ミスユニバース出場前に”犯行に及んだ”事になります。

レストラン等で(同行者がいる場合)財布を置いたまま化粧室に行く方は多いかと思いますが、同行者が「元ボーイフレンド/ガールフレンド」という場合には留意が必要なケースもある様です。

元ボーイフレンドのデビットカード(銀行)を化粧室で不在時に「盗み見」して覚えたとされています。

私見ですが、よほど記憶力の良い方でなければカード番号を覚えるのは難しい気がします。ネットでの不正購入を成立させる為には、カード番号の16桁、カード保有者名は元ボーイフレンドですので知っていたとしても、有効期限(4桁)と、裏面(Amexは表面)のセキュリティコード(3桁)を短時間に覚える必要がありますが、23桁・・・少なくても私にはその才能はありません。

※記事には一切書かれてませんが、「覚えた」とされる部分を、メモ用紙か、又は「スマホ」の写真への記録と置き換えて考える方がより現実的な気がします。

 

2か月で20回以上不正利用されても不正に気づかない元ボーイフレンドの脇も甘い気がしますが、請求時期によっては明細記載が遅くなりますので、これは仕方が無いかも知れません。

ネット不正をされたとして記事に出ていたのは、家電なども取り扱う東南アジア最大のECサイトLazda」でしたので、仮に元ボーイフレンドもこのサイトを普段から利用していたとすると、不正請求に気づくのが少し難しかったかも知れません。

f:id:foxcafelate:20210228070226p:plain

 

2件目は友人女性のデビットカードで、こちらは友人女性が「元ボーイフレンド」が不正にホテルを利用した事を疑い、友人(Ashley Rita Wong氏)に相談していたのが、実は犯人が「相談された友人」だったという、何ともショッキングな結果です。

※記事では、ホテルの請求(264.83ドル=約2.1万円)を元ボーイフレンドの不正利用と疑って・・とありますが、記事にあったホテルの代金を調べてみると、1泊8千円~の料金設定となっており、そんなに高いホテル(4つ星ですが)ではない様です。

f:id:foxcafelate:20210228070336p:plain

 

限度額の問題もありますが、不正の総額が2,000SD(約16万円)程度だったとされていますので、広く薄く友人・知人のカードを不正利用する事で、事件の発覚を遅らせる事を考えていたのかと思います。

 

とは言え、あまり後先を考えてないな・・と思うのが、配送先と本人確認で足がつきやすいという観点です。

例えばECサイトLazda」の不正購入で、商品の受け取りがありますので、配送完了後に住所を消したとしても、犯人に紐づく住所が何らかの形でサーバに記録されるかと思います。

またホテルでの不正宿泊をネット決済した場合も、宿泊時の身分証の提示予約に使ったカードを再度求められる事を考えると足が残るリスクが高いかと思いますし、そもそもフロントでのチェックインやチェックアウト時に不正利用者が”監視カメラ”に映るかと思います。

 

何か新しい攻撃手法があったのかと、(不謹慎ですが)期待したのですが、eスポーツの解説者らしからぬ普通のAttackだった様です。

 

 

余談ですが、こうした”友人”の場合の多くはカード会社によって保障されると思いますが、元ボーイフレンド/ガールフレンド(家族)と”同居”している場合は不正利用されてしまった本人(に隙があったとして)に請求がされてしまうのが普通かと思います。

※身内であってもゼロトラスト、とまでは言うつもりはありませんが、カード不正が疑われる場合(特に本人に身に覚えがない場合)まずは身内から聞くというのは、カード会社に抗議(相談)する前に必要な事な気がします。

 

例えば、三井住友カードの場合は、以下の様にFAQに書いています。

f:id:foxcafelate:20210228094154p:plain

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

ミスコン・ミスコンテンストの女性のイラスト

 

更新履歴

  • 2021年2月28日 AM