「おとりサイト」でカード情報を入手

しかしながら、いったい誰がカード情報を盗んだのか。一説には風俗店が危ないという噂が流れているが、実態はどうなのか。国民生活センターによると、いくつかの手口が考えられるという。相談事例を挙げよう。

30代女性の例。大手検索サイトのアンケートに答えたところ、面白い画像が無料で見られるという特典が付いてきた。個人情報を記入する欄があり、カード番号を入力したところ、後日、カード会社からドル建てで5000円の請求がきた。

いわゆる「フィッシング詐欺」がこれである。金融機関やショッピングサイトを騙ったメールを、大量の個人に、無差別に送りつける。そこに記されたリンクを消費者がクリックするとクレジットカード番号を含めた個人情報の入力を促す偽装ページが表示される。

最近はクレジットカード情報を入手する目的のみに作られた「おとりショッピングサイト」も出現。「楽天傘下のショッピングサイトをそっくりそのままコピペしたサイトが目立つ」(三上氏)という。偽装ページといっても、メールもWEBサイトも本物と見分けがつきにくいものが多く、よほど意識していないと、うっかり個人情報を入力してしまうことが多いそうだ。

また、フィッシング詐欺と同じく「スパイウェア」も個人をターゲットにする手口だ。電子メールを通じて、あるいはアプリのインストール時にパソコンに侵入、個人情報を盗み取る。

もっとも、個人から直接カード情報を盗み取るのは、犯罪者にとって「おいしい」仕事とはいえない。個人のカード情報を抱え込むECサイトや企業を狙い、数千件、数万件をごっそり盗んだほうが、費用対効果は高くなる。

「サーバハッキング」による情報流出がしばしば騒ぎになるのは、そんな理由からだ。セキュリティに脆弱性があるWEBサーバにハッキングし、本来ならアクセスすることができない個人情報を大量に窃取する。犯罪者は、プログラムのバージョンなどを調査した上で、侵入しやすいサーバを選び攻撃する。セキュリティの甘いショッピングサイトが狙われ、クレジットカード情報が大量に盗み取られてしまうのだ。

そのため、店側は「大量に顧客データを抱え込まない」「決済時にはクレジット会社側の安全な決済サーバに飛ばす」といった方針に移行しつつある。

消費者は、よく使うECサイトであってもカード情報を登録せず、買い物するたびに入力するというのが自衛策だ。また、ID・パスワードの使い回しも避けたい。あるサイトから流出したID・パスワードを用いて、同じID・パスワードを登録している別のサイトにログイン、カード情報を不正に入手する、という事案があるためだ。