「情報セキュリティ10大脅威」とはIPAが毎年、前年に発生した社会的に影響が大きかったと考えられる情報セキュリティ事案から10大脅威を選出してまとめたものです。

そんな情報セキュリティ10大脅威が今年も発表されました。そこで、10大脅威を全10回に分けて一つずつご紹介していきたいと思います。10大脅威には「個人編」と「組織編」があるのですが、今回は皆さんにも身近な「個人編」がテーマです。

第5位　クレジットカード情報の不正利用

概要

ネットショッピングなどに加え、最近では電子マネーやQR決済などのキャッシュレス決済サービスが急速に普及したことで、クレジットカード情報が連携されているサービスが増えました。
この脅威は、偽のウェブサイトへ誘導したり、モバイル端末などをウイルス感染することにより、クレジットカード情報を不正に盗み取るものです。
クレジットカード情報が盗み取られてしまうと、不正利用されたり、場合によっては闇市場での情報売買などが行われる可能性もあります。

続いて、具体的な手口をご紹介します。

1.　フィッシング詐欺

偽のメールやSMSを送信し、偽のウェブサイトに誘導して、その偽サイト上でクレジットカード情報を入力させることで盗み取る手口です。
メールでは、実在する企業やブランドなどを騙っていたり、URLなども文字列を少し変えただけものなど、見極めることが難しいものも多く存在しています。

2.　改ざんされたウェブサイトを介した詐取

実際に存在するウェブサイトの脆弱性をついて改ざんすることで、利用者を偽の決済画面に誘導し、クレジットカード情報を入力させることで盗み取る手口です。
実際に存在するウェブサイトが改ざんされているため、URLなどで真偽を見極めることは非常に困難です。

3.　ウイルス感染

メールに、ウイルス感染させるよう細工したファイルを添付し、ファイルを開くように誘導して、被害者の端末をウイルス感染させる手口です。添付ファイル以外に、改ざんされたウェブサイトに誘導してウイルス感染させる場合もあります。
もしウイルスに感染した端末でクレジットカード情報を入力すると、入力した情報が盗み取られたりしてしまいます。

4.　漏えいした情報の悪用

何らかのサービスに登録していたクレジットカード情報が、サイバー攻撃などによって流出し、そのクレジットカード情報を悪用される手口です。

対策

1.　情報の真偽を見極める

この脅威はまず、正しいメールなのか、正しいサイトなのかといったことを見極めることが大切です。
たとえば以下のような対応を行いましょう。

• 受信メールやウェブサイトに不審な点がないか確認
• メールの添付ファイルやリンクは開かない
• よく利用するウェブサービスはブックマークしてそこからアクセスする
• 普段出てこないような画面には情報を入力しない
• 添付ファイルの拡張子を確認する

2.　設定などの対策を行う

意識以外に、クレジットカードに関する設定などを行うことで対策することも可能です。

• 添付ファイルなどの拡張子を表示する
• パスワード作成・管理の徹底、使い回しを行わない
• クレジットカード会社が提供する本人認証サービスを利用する

また、クレジットカード自体の利用を再検討して、チャージの必要なプリペイド式のカードに変更するなども対策になります。

3.　被害の早期検知

クレジットカードの不正利用については、いくつかの視点から早期発見ができる可能性もあります。たとえばクレジットカードの利用明細の確認（身に覚えのない決済が発生していないか）などを定期的に行うようにしましょう。
また、サービス利用状況の通知機能を有効にしておくなどの手段も有効的です。

4.　被害を受けた際の対応

インターネットバンキングは金銭に直結することから、特に早急な対応が必要となります。
まず、判明した時点で以下のような対応を行いましょう。

• 該当サービスの窓口への連絡
• クレジットカードの利用停止、再発行
• 警察への被害届提出
• 弁護士などへの相談
• ウイルス感染した端末の初期化・ウイルススキャン
• 当該サービスのパスワード変更

まとめ

今回は、「情報セキュリティ10大脅威（個人編）」の第5位をご紹介しました。

キャッシュレス決済の普及や、インターネット上でのショッピングが一般的になったことにより、クレジットカードの利用もより加速しています。
ただ、クレジットカードの不正利用は金銭的な被害などに直結してしまいますので、しっかりと対策を行うようにしましょう。

次回は、「第4位　メールやSMS等を使った脅迫・詐欺の手口による金銭要求」をご紹介します。