最新デビット・カード詐欺
Latest debit card fraud schemes
セキュリティ侵害がデータ窃盗を許す
SECURITY BREACHES ALLOW DATA THEFT: PART ONE
Latest debit card fraud schemes
セキュリティ侵害がデータ窃盗を許す
SECURITY BREACHES ALLOW DATA THEFT: PART ONE
ロバート・E・ホルトフレーター博士(ACFE会員) 著
By Robert E. Holtfreter, Ph.D., Educator Associate
By Robert E. Holtfreter, Ph.D., Educator Associate
過去1年間で、詐欺師は販売会社やサービス提供会社が持つ不完全なデータ・セキュリティシステムから、何千というデビット・カード所有者のデータを盗み出し、被害者の口座を空にしてしまった。このパート1では最新の不正スキームについて考察する。
2006年初めに、ロンドンで元ワシントン大学歴史学教授のフランク・コンドン(Frank Condon)が、ウェルズ・ファーゴ銀行(Wells Fargo Bank)が発行しているVisa付デビット・カードをATM機に挿入し、暗証番号を入力したが、取引を拒否された。6週間前にタイとインドでそのカードを使用した時は、きちんと使用できていた。取引銀行支店とカリフォルニアにある本店の人々と話をしたところ、コンドンはイギリスではATMでの全取引が休止されていたことを知らされた。しかし、彼らは「調査に影響を及ぼし」たくなかったため、カード所有者に取引休止を知らせなかったのである。1
セキュリティ・ポリシーのため、銀行の広報担当者はロンドンで起こった問題に関する全ての詳細を話すことができなかった。しかし、ある人物がコンドンにこう話した。「我々銀行は、定期的に取引を休止することがあります。ほとんどの場合、カードの使用は可能です。しかしながら、時に顧客を守るために、特別措置をとることがあるのです。」その後まもなく広まった報道で、ウェルズ・ファーゴ銀行の問題は、数多くの銀行に影響を与えた広範囲に及ぶ(複数の小売業者間の)セキュリティ侵害の結果、発生したことであると伝えた。銀行は、口座情報が漏れたATMカードを使って不正に現金が引出された国で、取引を拒否されたカード所持者に対してカードの再発行をしなければならなかった。2 セキュリティ侵害が原因で、ハッカーがコンピュータ・ネットワークへの侵入し、暗号化された暗証番号とカード所有者の情報にアクセスすることが可能になってしまった。それらの情報は、ATM機からの不正な現金引出しに使用されたデビット・カードの偽造に使用された。
それと同様の事件が2006年2月に発生した。シティバンク(Citibank)が、MasterCard付のデビット・カードと暗証番号を使用してATM機から現金を引き出す、何百件もの不正取引があったと報告したのである。イギリス、ロシア、カナダのATMネットワークでも情報漏洩が発生した。シティバンクはすぐにこの問題に対処し、それらの国々で暗証番号を使用した取引を休止した。これにより、アメリカのカード所有者は、暗証番号を必要とする商品の購入や現金の引出しができなくなった。シティバンクは、ATM機からの不正な現金引出しが、第三者であるアメリカ国内の小売業者で情報漏洩が発生したために起こったのだということが判明した後、情報が漏れた口座の所有者である消費者に対して新しいカードを発行した。3
セキュリティ・フォーカス(Security Focus)のライターであるロバート・レモス(Robert Lemos)によると、シティバンクで起こったセキュリティ侵害は、「事務用品小売業者のオフィスマックス(OfficeMax)が関係しています・・・・しかし、“我々は、オフィスマックスで発生したセキュリティ侵害についての認識はありませんが、第三者の業者において発生するセキュリティ侵害を含む、オフィスマックスの顧客情報に関連した情報セキュリティ侵害が発生した可能性があります。”4 と、シティバンクは、証券取引委員会(the Securities and Exchange Commission)に(最近)提出した書類に記しました。」ということである。
いいニュースとして、「ニュージャージーとニューヨークの警察当局は、組織的な個人情報窃盗に関与する12人以上の人間を逮捕しました。」とニュージャージー州ハドソン郡検事のエドワード・デファジオ(Edward DeFazio)が話した。「その個人情報窃盗集団は、ヨーロッパ及び南アジアの個人情報窃盗集団と繋がりがあるのではないかと考えられ、その被害者の多くが、オフィスマックスで商品を購入していました。確かに、不釣合いといえるほど数多くの被害者(シティバンクのカード所持者)がオフィスマックスと取引をしていました。」5
この問題の重大さは、報道記者の数に表れている。オーランド・センチネル(Orlando Sentinel)のライターであるリチャード・バーネット(Richard Burnett)は、「大手銀行のシティバンクからサントラスト銀行(Sun Trust)、信用組合、地方銀行にいたるまで、アメリカの金融機関は史上最大規模の顧客のデビット・カード番号を盗むサイバー強盗に慌てて対応しています。」と伝えた。6 ロイター通信社記者のジョナサン・ステンペル(Jonathan Stempel)によると、「シティグループ(Citigroup)、バンク・オブ・アメリカ(Bank Of America Corp.)、ワコビア銀行(Wachovia Corp.)、ワシントン相互銀行(Washington Mutual Inc.)、大手クレジット・カード会社のVisaとMasterCardといった数多くの企業が・・・〔この6ヶ月から8ヶ月の間に〕データの盗難又はデータ損失の被害を受けました。何千万という顧客の個人情報が漏洩しましたが、必ずしもそれらが使用されたかどうかは分かってはいません。」ということである。7 それに加えて、2006年3月にVisaがアメリカの大手小売業者で発生したセキュリティ侵害を公表した際に、ノースカロライナ州信用組合(the North Carolina State Credit Union)は25,700枚のデビット・カードを再発行した。8 MSNBCの技術担当記者であるボブ・サリバン(Bob Sullivan)によると、オハイオ州を拠点としたナショナル・シティ・バンク(National City Bank)、ペンシルバニア州を拠点としたPNCバンク(PNC Bank)のような小規模な銀行も、同様の措置をとっています。」ということである。9
続けてサリバンは、問題は表面化し始めたと書いた。「何千米ドルもの金が口座から消えたという消費者からの苦情は、増加し続けるでしょう。ペンシルバニア州エリーの警察は、住民から数多くの報告を受けていると話しています。ニューメキシコ州のラス・クルーシスでは不正に関する通報が100件以上ありました。マサチューセッツ州西部では、フィッチバーグ市職員連邦信用組合(Fitchburg Municipal Employees Federal Credit Union)で147口座の情報漏洩を含む苦情が殺到した後、消費者問題州事務所(the State Consumer Affairs Office)はデビット・カード詐欺に関する警告を発布しました。」10
サリバンは、「この話は常に変わらず、人々の不安を掻き立てる問題である。」と書いている。例えば、被害者の1人、フロリダ州ネープルズに住むダナ・クラーク(Dana Clark)はMSNBCに投書し、「先週、私がオンラインで請求書支払をしていたところ、いくつかの〔不正な〕ATM取引に気がつきました。・・・〔そして〕銀行に電話をかけて事態を通報するまでの間に、口座からは1300米ドルが〔詐欺師たちに〕盗まれました。私は夫にビジネス用の口座を調べるように言いました。その口座に連動するATMカードが発行されているのですが、ブルガリア〔やその他の場所〕・・・・から1,500米ドル以上の不正な請求があったことが判明しました。」と伝えた。11
ガートナー・リサーチ・グループ(Gartner research group)の銀行アナリストで不正専門家であるアビバ・リタン (Avivah Litan) は、「これら銀行の協調を取った措置は、これまでで最大の暗証番号窃盗事件を反映しています。12金銭的損害の観点から言えば、これは、我々が知るデビット・カード不正として報告された事件の中で最大のものでしょう。」13 と伝えている。ファインド・ロー・リーガルニュース&コメンタリー(FindLaw-Legal News and Commentary)のライターであるアニータ・ラマサストリー(Anita Ramasastry)が書いた記事によってアビバの意見は繰り返された。アニータはその記事で、「先月(2006年3月)にかけて、大規模なセキュリティ侵害の影響を受けて60万枚という数のデビット・カード情報が漏洩しました。デビット・カードのセキュリティ問題は深刻になっています。金融機関の依頼を受けて、フェア・アイザック社(Fair Isaac)はアメリカ国民が所有するデビット・カードで情報が漏洩したものの追跡調査を行ないましたが、2001年から2003年にかけてその数は倍増し、2005年までに、総数は6万枚を超えました。しかし、この月(3月)における被害件数の急増は、これまでにない規模の大規模不正を示しています。」と記した。14
オーランド・センチネルのライターであるバーネットは、「被害件数の正確な数字は明らかになってはいない。被害件数を報告している銀行もあれば、していない銀行もある。専門家によると、アメリカ全体で少なくとも35万口座が不正な現金引出しの被害にあっており、その被害は1千万米ドル以上に上ると考えられる。」と報道している。15
銀行は通常、セキュリティ・システム侵害で被った損害を世間に公表しないため、前述のデビット・カード詐欺、関連する個人情報窃盗、情報漏えいしたカードの被害件数は恐らく実際よりも大幅に控え目な数値であろう。銀行はマイナスの評判を公表することで、彼らの事業の中で高い収益を出しているデビット・カード事業が深刻な悪影響を被ることを恐れているのである。
業者が採用しているカード所有者のデータ・セキュリティシステムへのセキュリティ侵害の裏に潜む内部構造を完全に理解する前に、カード業界がデビット・カード詐欺や関連する個人情報窃盗を食い止めるために実施している策を調べ、デビット・カード取引がどのように処理されているのかを理解することが重要である。
クレジット・カード業界のデータ・セキュリティ基準
(PAYMENT CARD INDUSTRY DATA SECURITY STANDARD)
2001年、VISA USA社はカード所有者情報保護プログラム(the Cardholder Information Security Program:略CISP)を策定し、全ての販売会社及びサービス提供会社(カード所有者データ処理を行なう企業)に対してカード所有者情報を保護するために一連の定められた要件を導入するよう義務付けた。2004年、VISAとMasterCardが協力して共通の要件を策定し、CISP要件を業界基準ガイドラインとして知られるPCII(Payment Card Industry Data Security Standard:クレジット・カード業界のデータ・セキュリティ基準)に盛り込んだ。各企業が定めた機密保護要件は1年間で被害にあった取引件数によって決定される。これら要件の目的は、不正行為やコンピュータ・ネットワークへのハッカー行為を減らすことにある。16 (データ・セキュリティ要件の全てを閲覧する場合、www.visa.com を参照。)
Visaによると、2006年4月の時点で大手販売会社231社のうちたった17%がガイドラインの要件を満たしていると発表している。(しかし前向きに考えれば、それら企業のうち75%がセキュリティ対策要件を満たす努力をしているとクレジット・カード協会に報告している。17)企業のPCI要件導入への順守に対する後ろ向きな姿勢が、なぜカード所有者のデータ・セキュリティシステムがセキュリティ侵害の攻撃を受けやすいのかを説明している。その結果、企業はハッカーがデータベースに侵入し、カード所有者の暗証番号を含む個人情報を取り出すチャンスを作り出してしまっているのである。
デビット・カード:世界経済に与える影響
(DEBIT CARDS:IMPACT ON GLOBAL ECONOMIES)
デビット・カードおよびクレジット・カードが世界経済に与える影響については良い面と悪い面がある。その良い面とは、それらカードの様々な使用法がプラスチック・カードの激増へとつながり、世界中の経済発展に拍車をかけたということである。ニルソン・レポート(The Nilson Report)は、アメリカ単独で、2005年中にクレジット・カード及びデビット・カードに付いているVisaとMasterCardで支払われた商品購入の総額は、それぞれ1兆3740億と8270億米ドルであったと記している。2004年と比較すると、クレジット・カードの使用に関しては8.2%の増加、デビット・カードにおいては19.2%の増加を表している。さらに同期間に、クレジット・カード取引135億5000万件とデビット・カード取引166億6000万件が報告され、それぞれ7.7%と17.8%の増加を見せている。明らかに、アメリカ国内での取引件数と購入金額の両方において、デビット・カードの成長率はクレジット・カードのそれを凌いでいる。18 さらに、カナダは一人当たりのデビット・カード使用率が世界で第1位を記録しており、2002年に24億件の取引があり、総額にして1049億米ドルであった。19
悪い面というのは、最近のデビット・カードの不正使用とそれに関連する個人情報窃盗の蔓延が、カード所有者やクレジット・カードの発行する銀行とカード業界に被害をもたらしている。また、それは世界中の消費者や企業に対してかなり経済的マイナス影響を与えた。アメリカ単独で、デビット・カード詐欺は銀行に平均27億5千万米ドルの損害を与え、年間300万人が被害にあっている。20 カナダ国内のデビット・カード犯罪は、年間1億5千万米ドルの損害を与えていると推測されている。2002年のイギリスでのATM詐欺被害は総額2910万ポンドで、2001年から37%の上昇という驚くべき数字である。アラブ首長国連邦も同様の詐欺が2003年3月のアラブタイムズによって報道され、米ドルにして1370万ドルの被害を被った。21
なぜデビット・カード詐欺がこれだけ問題になっているのだろうか? フェア・アイザック社のATM詐欺発見プログラム「カードアラート(CardAlert)」の管理を行なうマイク・アーバン(Mike Urban)によると、「不正は変化しています。・・・〔犯罪者たちは〕現金があるところに狙いを定め、クレジット・カードを狙った詐欺から離れていっているのです。」と話している。22 詐欺師が被害者の本物又は偽造のデビット・カードを使用して商品を購入する場合、彼には購入した商品を転売して現金に換えるというリスクが生じる。これには個人との取引が関係してくるので、そこから逮捕される危険性が高くなるのである。しかし、被害者のデビット・カードを使用した場合、これらのリスクの回避が可能である。というのも、詐欺師が相手にしているのがATMという機械であり、そこから現金を直接引き出すことができるからである。
デビット・カードはどう使用され、どう処理されるのか
(HOW DEBIT CARDS ARE USED AND PROCESSED)
デビット・カード、それはカード所有者の銀行口座に直結しており、様々な場所で商品やサービスの購入に使用されてはいるが、ほとんどがATM機で現金の引き出しに使用される。23 グローバルATMセキュリティ・アライアンス社(the Global ATM Security Alliance)によると、世界中には100万台以上のATM機が設置されており、5分毎に新しいATM機が設置されているという。24 (また、商品の支払の際、カード所有者はクレジット・カードのような方法でデビット・カードを使用する。所有者がカードを機械に通してサインをした後、販売会社はまるで暗証番号が入力されたかのようにデビット・カード取引の処理を行なう。潜在的詐欺師が不正な買い物をする際には、デビット・カードそのものを盗み、カード所有者のサインを偽造する必要がある。なぜなら、デビット・カードでは暗証番号確認のやり取りが行われないからである。クレジット・カードとは異なり、デビット・カード所有者の銀行口座残高は、取引が完了すれば自動的に引き落とされる。)
デビット・カードには機械読み取り用の磁気帯がついており、それには口座番号、支店番号、有効期限、氏名、住所、口座種別等のカード所有者の情報が記録されている。USA TODAYでコラム記事を担当する技術ライターのアンドリュー・カンター(Andrew Kantor)によると、「デビット・カード支払で商品を購入する時、カード所有者本人又は店員がカードの磁気帯から口座情報を得るために読み取り機にカードを通す。そしてキーパッドにカード所有者が暗証番号を入力し、レジで情報が暗号化され、販売会社と銀行を結ぶ役割をする会社である取引処理〔サービス提供会社〕に送られる。処理会社は口座番号と暗号化された暗証番号(暗証番号ブロック(PIN block)と呼ばれている)を受取り、後に復号キーを使って暗号化された情報を元に戻し、取引銀行に購入金額を支払うだけの残高があるかどうかの確認をとる。口座に十分な残高がある場合、認可コードが店舗に送信さる。ここに問題が存在する。それは、取引処理会社は、取引終了後に暗証番号ブロックを含むカード情報を破棄しなければならないのだが、全ての処理会社がそうしているわけではない。彼らは数時間、数日、もしくはそれ以上に長い期間、それらの情報を保存している可能性がある。誰かが復号キー同様、データベースへのアクセス方法を得た場合(そしてそれらは浅はかにも同じシステム内に保存されている可能性がある。)、復号キーで暗号を解読して正常に機能する偽造カードを作成するであろう。世の中にはそれだけを仕事にしている人間が存在するのである。」と記している。25
ライタン(Litan)によると、「暗証番号情報は、店舗で暗証番号がキーパッドに入力され、取引終了後ただちに破棄すべきその情報を不正に保存している販売会社から入手可能です。その情報は暗号化されていますが、暗号キーは同じネットワーク上に保存されていることが多いのです。・・・・しかし、(小売業者を)弁護すれば、彼らは単に支払いソフトを使用し、恐らくそこにどういう情報が含まれているのかさえ把握していないでしょう。
そのソフトは、ただそのソフトの機能上保存可能であるからというだけで暗証番号を保存しています。このことに誰も気が付いていないのです。ソフトの内部は非常に深く、我々の想像以上に多くの情報を保存している可能性があるのです。」26 と話している。
デジタル・トランザクション・ニュース(Digital Transaction News:略DTN)のコラム記事を担当するライターは、「デビット・カードにまつわる大規模セキュリティ侵害事件の責任の所在を決めるために回された瓶は、無難にソフト開発者である富士通トランザクションソリューションズ社(Fujitsu Transaction Solutions Inc )を指して止まり、・・・・指された同社は、VISA USA社の出したカードセキュリティに関する警告で名前を持ち出され、突然の招かれざる悪評の標的になってしまった。今週富士通の経営陣は、同社の店舗販売時点情報管理ソフトに対して不当に責任を擦り付けられたと彼らが主張するVUSAが出した回覧騒動で被った被害対策に対応している。」と伝えている。富士通の広報担当者は、「小売応用環境技術のRAFT(Retail Application Framework Technology)並びにPOSシステムのGlobalStoreは継続的にアップグレードされ、PCIセキュリティ基準に準拠します。」と発表した。27
DTN記事の執筆者は、こう続けて書いている。「富士通のソフトに責任がないとしても、この騒動は、口座番号と暗証番号を保存する「追跡」ユーティリティと呼ばれる不透明であるが重要なソフトウェアの役割を明るみにし、セキュリティ侵害に関して考えられるいくつかの手がかりを提供している。専門家は、RAFTとGlobalStoreがそのような情報を保存しないとしても、インストール時にそれらプログラムや他のプログラムの検証が可能な追跡ユーティリティがデータの保存を可能にすると話している。追跡機能の目的は、文字通りシステムが正常に動作しているかを確認するテスト・トランザクションを追跡することである。富士通は依頼してきた小売業者に対してTRACEMONという独自の追跡ユーティリティを提供しているが、追跡プログラムは第三者の業者又はウェブサイトからも入手可能である。これらのユーティリティはカード所有者情報の保存が可能であるため、富士通は顧客に対して検証終了後直ちに追跡プログラムの削除を実施するように強く求めている。」28 ワシントン州のレドモンドを拠点とした支払ソフト製作会社のTPI Software LLC社社長のビル・ピットマン(Bill Pittman)は、「追跡プログラムは、プログラマーがトランザクション伝達の全容を1バイトごとに調べるために開発した問題識別ツールです。その目的は、デバッグ(プログラムのミスを見つけて修正すること)ですが、悪意のある人間に悪用された場合、大変なことになってしまうのです。」29 と話している。最近起こった大規模なデビット・カード詐欺と関連する個人情報窃盗事件を鑑みると、ハッカーたちがデビット・カード所有者情報の入手に成功しているのは明らかである。
「個人情報泥棒たちは、どうやらネットワーク規定に反して暗証番号を保存している販売会社からそれらの番号を盗んでいるようである。」とオンラインコラムに書いているのは、ネットワーク・セキュリティ・プロフェッショナルであり、CISSP(Certified Information Systems Security Professional)資格を持つマーティン・マッケイ(Martin McKeay)である。「システムにあなたの暗証番号を入力すると、本来ならば即座にその番号は削除されるはずである。・・・・・もし販売会社が暗証番号を保存しているとしても、そこかしこの販売会社でこのような事件が起こるはずがない。これがいかなる形式の組織犯罪に使用されるためには、企業全体でデータベースのどこかに無許可で暗証番号を保存している企業が存在することを示している。・・・・それは、データベースもまたセキュリティ侵害を被っていることを意味するのである。」30
マッケイは暗証番号が使用される方法に疑問を感じている。「暗証番号がなぜ入手できる形式で販売会社のネットワーク上に置かれているのか?・・・・入力後にその機械から送信される前に、暗証番号を暗号化できない理由は存在しない。システムに暗証番号を入力した時点から送信されるまでの間に、その番号を守るために公開鍵暗号アルゴリズム又はハッシュ関数が使用されている。販売会社があなたの暗証番号が何か知る必要はないのである。彼らはあなたが入力した暗証番号があなたの口座の暗証番号と一致しているかの確認が必要なだけである。我々のネットワークシステムが作られてからそろそろ25年が経過しようとしている。これが史上初めての大きなシステム障害事件であるというのは驚くべきことである。しかしこれは、全システムの見直しを行なう必要があるという兆候に過ぎない。」31
最近起こったこの金融サービス産業におけるセキュリティ侵害は、2005年に起こった一連の出来事の直後に起こった。その一連の事件というのは、5千万件の口座番号が盗難、紛失、漏洩により潜在的詐欺の危険にさらされたというものである。32 これは販売会社のデビット・カード取引処理を行なうサービス提供会社のカードシステム・ソリューションズ社(Card-Systems Solutions Inc)が、報告された事件中で最大のセキュリティ侵害事件のひとつを起こし、4千万人のカード所有者を詐欺の危険にさらした時に起こった。同社は消費者データに関するカード業界規定に背いたことを認めた。33 このセキュリティ侵害事件が公になった直後、カードシステム・ソリューションズ社は「何とか経営を持ち直そうとしたが、結局支払い処理会社のペイ・バイ・タッチ社(Pay By Touch)に買収された。」といつことである。34
残された問題 (QUESTIONS REMAIN)
デビット・カード詐欺と関連する個人情報窃盗は世界中で大きく問題になっている犯罪である。しかしそれらは、販売会社やサービス提供会社が使用するセキュリティ・システムで発生した最近のセキュリティ侵害事件によって、さらに深刻化している。現在我々が使用しているカード所有者情報を守る技術は時代遅れで、企業はカード所有者のセキュリティ・システムへの侵害を常に公表しているわけではないと考える人がいる。我々は皆デビット・カード詐欺と個人情報窃盗の損害は関係者全員に対して大きな影響を与えることが分かっている。
これには多くの問題が残されている。例えば、カード業界の提示するセキュリティ・システム・ガイドラインを全販売会社に順守させるためにどういった施策がとられているのだろうか? カード所有者情報を守るために使われている現行の技術に替わると思われる革新的技術が存在するのだろうか? 議員たちは州レベル、連邦レベル及び国際レベルで全てのデータ漏洩事件を公に公表すると市民に保証するために、何を提案しているのだろうか? カード所有者はデビット・カード詐欺と関連する個人情報窃盗の被害者になる可能性を低くするためにどんな手段、再発防止策、予防策をとることができるのか? 9月/10月号においてこれらの問題に答える。
| 定義されているアメリカクレジット/デビット・カード詐欺 (U.S. Credit/Debit Card Fraud Defined) |
|
| 1. | 他人名義のクレジット・カード、デビット・カード又はカード所有者情報を不正に入手、所持、署名、使用、販売、偽造すること |
| 2. | 無効または期限切れであると知りながら、又は請求金額を支払うだけの十分な残高が口座にないことを知りながら自身のカードを使用すること |
| 3. | 取引をする相手が不正に入手したクレジット・カード又はデビット・カードを使用している、又は権限がないのに使用していることを知りながら商品やサービスを販売すること |
| 参照:www.criminal.findlaw.com/crimes/a-z/credit_card_fraud.html | |
| デビット・カード詐欺師の狡猾な創意工夫 (Crafty Ingenuity of Debit Card Schemers) |
|
| デビット・カード詐欺にはカードのスキミング、ショルダー・サーフィン、ラム・ドライビングのような不正スキームが含まれる。カード・スキミングは最も一般的なもので、詐欺師がハイテク機器を使って知らない間にカード番号を手に入れることである。暗証番号を記録する小さなピンホールカメラがATM機のキーボードに取り付けられたり、デビット・カードがATM機に実際についているカード読み取り機に挿入された時に、カード裏の磁気帯に記録された情報を得るために電子カード読み取り機が装着されたりする。また、詐欺師は有線方式のカメラ又は双眼鏡を使って暗証番号を入手する。1内部のセキュリティ・システムに潜り込んだハッカーは、2006年で起こったデビット・カード詐欺のほとんどの事件における主要要因である。 ショルダー・サーファーは対象となる被害者が暗証番号を入力するのを肩越しに覗き見る。詐欺師が被害者のデビット・カードを盗むことができれば、不正に現金を引き出したり、その他の取引を行なったりすることが可能になる。 ラム・ドライビングをする窃盗犯は、掘削機械バックホーやその他の重機でATM機を壊して持ち去る。(これが詐欺行為で最も無遠慮な方法である。)また、2000年に世界中で窃盗犯は60個のATM機の金庫に侵入するために爆薬を使用した2 もっと巧妙な詐欺師は機械に仕掛けを取り付け、そのせいでカードが引っ掛かってしまう。カードが機械から出てこなくなって、カード所有者が立ち去った後に、詐欺師はカードを取り出す。3 カード番号又はデビット・カードそのもの、及びその暗証番号を入手し、詐欺師は疑いをもたれることのない顧客の銀行口座から金を引き出す偽のカードを作成することができる。 暗証番号処理を行なう販売会社やサービス提供会社及び銀行は、カード所有者情報を守るためにセキュリティ・システムを改良する必要がある。セキュリティ侵害が継続して発生する場合、デビット・カードの使用は減少するだろう。デビット・カードには世界経済を動かす大きな力があるというのに、残念なことである。 |
|
| 1 | Global ATM Security Alliance staff, "ATM Security" Feb. 4, 2004 at www.globetechnology.com/ |
| 2 | 前掲書中に Global ATM Security Alliance staff. |
| 3 | 同じ箇所に |
【脚注】
| 1 | Pucci, Carol. "You Could Be Out Of The Country and Out of Luck With Your ATM Card." Travel/Outdoors column. Seattle Times. March 19, 2006 at www.seattletimes.com |
| 2 | 同じ箇所に |
| 3 | 同じ箇所に |
| 4 | Lemos, Robert. "Debit Card Fraud Underscores Legal Loopholes." Security Focus. March 22, 2006 at www.securityfocus.com/ |
| 5 | 同じ箇所に |
| 6 | Burnett, Richard. "Banks Scramble After Cyber-Breach - Stolen Card Numbers Mean Millions in Losses." April 21, 2006 at www.orlandosentinel.com |
| 7 | Stempel, Jonathan. "Identity Theft Should Not Paralyze Bank Customers," March 17, 2006 at www.today.reuters/com/ |
| 8 | Search Security staff, "Security Bytes: Scope of Debit Card Fraud May be Widening," March 10, 2006, at www.searchsecurity.techtarget.com/ |
| 9 | Sullivan, Bob, "Debit Card Thieves Get Around PIN Obstacle - Wave of ATM Fraud Indicates Criminal Have Upped the Ante," March 9, 2006 at www.msnbc.msn.com/ |
| 10 | 同じ箇所に |
| 11 | 1と同じ箇所に |
| 12 | 前掲書中に Pucci. |
| 13 | 前掲書中に Burnett. |
| 14 | Ramasastry, Anita. "Debit Card Debacles: Why Consumers Need to Worry About the Recent, Massive Wave of Debit Card Fraud." March 29, 2006 at www.writ.news.findlaw.com/ |
| 15 | 前掲書中に Burnett. |
| 16 | www.visa.com. |
| 17 | 同じ箇所に |
| 18 | Sidel, Robin. "Visa Warns of Data-Theft Risk for Customers." The Wall Street Journal. March 17, 2006. |
| 19 | Global ATM Security Alliance staff. "ATM Security." Feb. 4, 2004 at www.globetechnology.com/ |
| 20 | Tripp, Julie. "Debit Card Crime Spree Latest in Costly Fraud." The Oregonian. March 19, 2006 at www.oregonlive.com/ |
| 21 | 前掲書中に Global ATM Security Alliance staff. |
| 22 | Accounting Web staff. "Debit Card Fraud Jumps." Accounting Web. March 16, 2006 at www.accountingweb.com/ |
| 23 | www.frbsf.org/ |
| 24 | 前掲書中に Global ATM Security Alliance staff. |
| 25 | Kantor, Andrew. "Lack of Answers in Debit Card Fraud Troubling." USA TODAY. March 16, 2006 at www.usatoday.com |
| 26 | 前掲書中に Accounting Web staff. www.accountingweb.com/ |
| 27 | Digital Transactions News staff. "Fujitsu Does Damage Control While Utility Software Gains Attention." Digital Transactions News. March 31, 2006 at www.digitaltransactions.net |
| 28 | 同じ箇所に |
| 29 | 同じ箇所に |
| 30 | McKeay, Martin. "The Random Thoughts and Ramblings of Martin McKeay." Network Security Blog. March 17, 2006 at www.mckeay.net/secure/ |
| 31 | 同じ箇所に |
| 32 | 前掲書中に Accounting Web staff. |
| 33 | 前掲書中に Sidel, Robin and Clint Riley. |
| 34 | 前掲書中に Accounting Web staff. |
※一部の参照先が正しく表示されない場合がございますが、ご了承ください。
| ロバート・E・ホルトフレーター博士(Robert E. Holtfreter、教育者会員)はセントラル・ワシントン大学で会計と調査における一流の教授である。彼はFraud Magazineの編集検討審議会のメンバーである。 |
2007 ACFE JAPAN, All rights reserved.