犯罪者がクレジットカード取引を悪用し、一度のみならず複数回にわたって口座から現金を盗み出す。よく聞かれるサイバー詐欺であるが、そのターゲットとなったのはセキュリティ対策の専門家であった。幸いなことに、被害額を金融機関が補てんしたことで一難を免れたが、一体どのような事態に見舞われたのか、被害に遭った本人自らが解説する。
この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。
先日、バンク・オブ・アメリカからのメールを受け取った。私(Tony Anscombe)のクレジットカード情報が闇の業者に漏れているかもしれないとの内容だった。そのメールでは、不正取引の可能性を念頭に入れ、今後も注意をするように、と促していた。加えて、同行からの内容には、私がいかなる不正取引に遭っても金銭的な責任は求められない、との旨も追記されていた。
このタイミングで、過去に私自身が情報漏えいを経験した時のことを皆さんにお伝えしておきたいと思う。リアルな話をしたいところだが、私はバンク・オブ・アメリカから届いた通知を読み、少々納得がいかない部分もある。まず、どの業者に情報が漏えいしたのだろうか。私の他の個人的なデータも業者の手に渡っているのではないだろうか。もっと早く分かっていれば、とれる対策もあったはずだ。そしてメールでは、同行が口座から盗まれた分の返金を約束するとの記載もある。しかし、それだけでなく、同行がどのように詐欺師を見つけ出し、処罰しようとしているのかも教えて欲しかった。
情報漏えいの通知、返金、処理などをおこなう点については、真摯に受け止められるため、被害を受けた人や企業はその対応に納得しているようである。実際に、警察に捕まった犯罪者の話や、被害を受けた不幸な人が漏らす不満など、ほとんど聞いたことがない。
私の個人的なデータが漏えいした話
2018年12月、私宛に郵便にて届けられた(私含め、まだ明細書を郵送してもらっている人はいるのだ)、普段あまり利用していない口座の月間取引明細書。この口座は普段、取引がゼロもしくは、あっても数件なので、明細書はいつも1枚だけだが、今回は7枚にも上っている。明細書を確認すると、身に覚えのない取引明細が50件近く記載されていた。その内訳は、デビットカードでの取引が35件、クレジットカードでの取引が15件となっていた。ほとんどの取引は、英国にある保険会社のものとされていた。
今回、問題となった口座は米ドル建ての海外口座である。この口座を普段あまり利用していないのは、非常時の資金源とみなしているからだ。この口座用のカードはパスポートと一緒に保管している。旅行中にトラブルに遭遇しても、すぐに支払いできるよう「いざという時のため」の口座である。要するに、あまり利用していないこの口座はオンラインでアクセスすることもほぼなく、たまに届いた紙面の明細書をチェックするぐらいだったのだ。
同行の24時間詐欺相談センターに電話し、スタッフに1時間ほど相談した。取引したのが私なのか、それとも詐欺師なのかを確認するため、明細書に記載されたすべての取引をひとつずつ調べていくうちに、最初の問題は解決に至った。なぜ私がそのような不正取引にもっと早く気付かなかったのか、スタッフは少し驚いた様子だった。しかし、口座を普段ほとんど利用していない理由を説明したら、スタッフは納得し、すぐに処理を進めてくれた。取引総額、約7,500ドルから残高1,750ドルを差し引いた、約5,750ドルがだまし取られた金額であるが、同行はすぐに口座に返金してくれた。同行はその口座でさらに取引がおこなわれないように不正アクセスをブロックし、口座用のカードも再発行してくれた。
その後も、不正取引は確認された。クレジットカードでの取引が数件確認され、実に約4週間も取引が継続した。同行は監視を続け、適切に返金額を調整してくれた。また、その取引をおこなったのが私ではないことを確認する書類も必要となり、同行はその書類を作成してくれたため、私はそれに署名した。最初、メール通知を受け取った時点ではとても不安だったが、電話で1時間相談しただけで、すべて解決し予想以上に簡単に元通りにすることができたのだ。
充実した将来のための保険
さて、不正な取引はどのようなものだったのだろうか。1件目の不正取引はとても興味深いものだった。詐欺師は「Identity Cloaker」からVPN製品を購入していた。この製品を導入すれば、詐欺師は自分のIPアドレスを公開しなくてもオンラインで不正取引できるため、業者や警察から見つからないように身元や居場所を隠すことができるのだ。
保険とは関係ない取引も3件ほど確認されている。ユーロスターのチケット予約2件と、パリのラディソンホテルの予約1件である。彼らはパリで楽しい時間を過ごしたのだろうか。しかし、その後はきっと刑務所で不便な生活を送っていることだろう。
詐欺師、いや彼らのことを敢えて「犯罪者」と呼ぼう。なぜ、犯罪者はすべてこの保険に加入しているのだろうか。
保険はすべて英国で加入し、取引はすべてポンド建てでおこなわれている。取引に利用された私の口座は米ドルの口座なので、同行に対して不正利用警告が発せられたはずだ。英国の保険会社は、法律により14日間のクーリングオフ期間を設定しなければならない。何らかの理由があれば、この期間に保険を解約することができる。保険が有効であれば、保険業者は保険金額から被保険期間分を差し引いた金額を返金しなければならない。さらに、適切な管理手数料も追加できる。このケースのように、保険契約者が保険開始日を実際の日付よりも前の日付に設定すると、被保険期間分の控除は不適切とみなされる。
取引を詳しく調べ、利用状況が分かっているデビット決済と、あまり使っていないクレジット決済を確認してみたところ、取り消しを受け入れ、元の支払い方法である私のデビットカードに返金してくれる会社はほんの数社しかないことが分かった。それ以外の会社は、別の口座に返金するか、小切手を送ってくれることになった。
犯罪者はデビットカード取引を悪用して私の口座から現金を盗み出そうとしていた。取引していた会社が別の口座や手段で返金してくれたのが何よりの救いではあった。
なぜ私にこんなことが起きたのだろうか。私はサイバーセキュリティ業界で働いているが、同じようなことは間違いなく他の人にも起きるだろう。その理由は、以前の取引に関係があるかもしれないからである。実際、この場合、口座に不正な請求が表示される前の最後の取引に関係があることが推察された。7月20日から24日の間に、その口座のデビットカードを悪用して、ブリティッシュ・エアウェイズの航空券が3件購入されていた。2018年の1年間で、デビットカードを使って取引した業者は不正業者以外の3社(ロンドンのアパレル会社、RVレンタカー会社、ブリティッシュ・エアウェイズ)のみだった。
2018年9月、ブリティッシュ・エアウェイズは、8月21日から9月5日の間に情報漏えいし、38万件の取引に被害が及んだことを発表した。情報漏えいを調査したところ、同社は4月21日から7月28日の間にも情報漏えいしていたことが判明した。いずれかの情報漏えいによって、支払用カードの情報が盗まれ、悪用されている可能性も否めない。なぜ、私のカード情報が悪者の手に渡ってしまったのだろうか。こちらをご覧になっている皆さんには、自分なりの結論を出していだきたいと思う。参考までに、情報漏えいが1回以上発生した業者はその3社のうち1社のみであった。
結論
この個人的な話の教訓として、サイバーセキュティ業界の従事者であっても、誰しもが情報漏えいの被害者になり、その後に詐欺に遭う恐れがあるということを覚えていてほしい。実際に被害者となり、どのような被害を受けたのかという話を目撃することや聞くことはほぼないといっていい。この事件は深刻さというよりは厄介な点が問題だった。しかし、多くの人がサイバー犯罪者による金銭の窃取、なりすまし犯罪やその他の被害を受けている。朗報と言えば、フォーブス(Forbes)誌は最近、記事上で以下のような発表をおこなった。クレジットカード詐欺被害における被害金額は2017年の81億ドルから2018年に64億ドルに減少したとのことだ。それでもやはり、犯罪者は以前と変わらず、金儲けのチャンスをうかがっているようではある。
最後に、私の前回の投稿でも同じことを書いているが、常にオンライン取引用のクレジットカードを使用し、上限額を最低に設定しておくことだ。今回問題になったのはデビットカードだが、旅行する時に便利なこともあり、よく利用していた。こうした注意点はご覧の方だけに向けたものではなく、もちろん私自身へも向けている。今後も、自戒を含めたアドバイス提供をおこなっていこうと思う。