キャッシュカードを悪用するフィッシング、被害額は1年で約27億5000万ドルに

　Gartnerが新たに発表したレポートによると、キャッシュカードやデビットカードに関連するフィッシングの被害額は、過去12カ月で約27億5000万ドルに上ったという。

　米国時間2日に公表されたこのレポートは、5000人の米国人を対象にGartnerが行った調査の結果をまとめたものだが、それによると、過去1年間に300万人の米国人がオンライン詐欺に遭っており、被害額の平均は1人あたり900ドルを上回ったという。

　詐欺犯らはフィッシング詐欺やキーロギング技術を使って集めた銀行の口座番号や個人のID番号（PIN）を元に、偽のキャッシュカードやデビットカードを作り、そのカードを使って現金を盗んだり、商品を購入していると、Gartnerは述べている。

　Gartnerのリサーチディレクター、Avivah Litanは「カードを発行する銀行がトランザクション認証時に、カードの磁気ストライプ上にあるセキュリティコードを確認していない」ことが犯罪の成功につながっていると述べている。

　どのキャッシュカードも、セキュリティコードを磁気ストライプのトラック2に格納している。これらのコードは、実際のカードと顧客の口座番号とを結びつけ、顧客のPIN確認以外にセキュリティレイヤを追加する役目を果たしている。

　しかしLitanによると、米国では最大で半数の銀行がトラック2に格納されたデータの認証を行っておらず、顧客のPINだけでATMのトランザクションを許可しているという。同氏は、銀行やトランザクション処理業者らとの会話を元にこれらの概算をはじき出した。

　「犯罪者は、キャッシュカードのトラック2に格納された磁気ストライプのセキュリティデータを確認しない銀行の顧客を捜している。ハッカーは、このような銀行を『カモ』と呼んでいる」（Litan）

　銀行がトラック2のセキュリティデータを調べるようATMのホストシステムを修正すれば、このような攻撃を減らせると、Litanは指摘する。

　顧客はトラック2のデータが自分のキャッシュカードの磁気ストライプに記録されていることなど知らないため、フィッシング犯が利用者をだましてこの機密情報を聞き出すことはできないと、Gartnerは述べている。また、ハッカーが銀行のアルゴリズムやセキュリティコードに詳しくなければ、トラック2データを複製することは一般的には不可能だという。

　セキュリティソフトウェア会社のPostiniが2日に公表したレポートによると、フィッシングの件数は急激に増加しており、同社が7月に処理した顧客の電子メールのうち、フィッシングを試みるメールは1930万件弱に上り、6月に比べて16％増加したという。