Gartnerが新たに発表したレポートによると、キャッシュカードやデビットカードに関連するフィッシングの被害額は、過去12カ月で約27億5000万ドルに上ったという。
米国時間2日に公表されたこのレポートは、5000人の米国人を対象にGartnerが行った調査の結果をまとめたものだが、それによると、過去1年間に300万人の米国人がオンライン詐欺に遭っており、被害額の平均は1人あたり900ドルを上回ったという。
詐欺犯らはフィッシング詐欺やキーロギング技術を使って集めた銀行の口座番号や個人のID番号(PIN)を元に、偽のキャッシュカードやデビットカードを作り、そのカードを使って現金を盗んだり、商品を購入していると、Gartnerは述べている。
Gartnerのリサーチディレクター、Avivah Litanは「カードを発行する銀行がトランザクション認証時に、カードの磁気ストライプ上にあるセキュリティコードを確認していない」ことが犯罪の成功につながっていると述べている。
どのキャッシュカードも、セキュリティコードを磁気ストライプのトラック2に格納している。これらのコードは、実際のカードと顧客の口座番号とを結びつけ、顧客のPIN確認以外にセキュリティレイヤを追加する役目を果たしている。
しかしLitanによると、米国では最大で半数の銀行がトラック2に格納されたデータの認証を行っておらず、顧客のPINだけでATMのトランザクションを許可しているという。同氏は、銀行やトランザクション処理業者らとの会話を元にこれらの概算をはじき出した。
「犯罪者は、キャッシュカードのトラック2に格納された磁気ストライプのセキュリティデータを確認しない銀行の顧客を捜している。ハッカーは、このような銀行を『カモ』と呼んでいる」(Litan)
銀行がトラック2のセキュリティデータを調べるようATMのホストシステムを修正すれば、このような攻撃を減らせると、Litanは指摘する。
顧客はトラック2のデータが自分のキャッシュカードの磁気ストライプに記録されていることなど知らないため、フィッシング犯が利用者をだましてこの機密情報を聞き出すことはできないと、Gartnerは述べている。また、ハッカーが銀行のアルゴリズムやセキュリティコードに詳しくなければ、トラック2データを複製することは一般的には不可能だという。
セキュリティソフトウェア会社のPostiniが2日に公表したレポートによると、フィッシングの件数は急激に増加しており、同社が7月に処理した顧客の電子メールのうち、フィッシングを試みるメールは1930万件弱に上り、6月に比べて16%増加したという。
この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。海外CNET Networksの記事へ
CNET Japanの記事を毎朝メールでまとめ読み(無料)
地味ながら負荷の高い議事録作成作業に衝撃
使って納得「自動議事録作成マシン」の実力
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス