広州市公安は、デビットカードを悪用して約2.4億円を騙し取った詐欺集団を摘発した。その手口は、電話手続きの脆弱性を利用して、デビットカードを再発行させてしまうものだったと新華社が報じた。

 

決済手段のセキュリティは成熟をしている

キャッシュレス時代になり、決済手段もクレジットカード、デビットカード、スマホ決済などが使われ、いずれもセキュリティには万全の対策が施されている。物理カードの場合、ICチップが搭載され、これをコピーすることはほぼ不可能。研究室内での複製には成功をしているが、その複製には莫大な費用と技術が必要になるため、犯罪に応用してもまったく割に合わない。スマホ決済も、トークン化をするなどのセキュリティ対策が施され、このトークンは、それ単体では利用することができず、コピーをされても悪用のしようがない。セキュリティ技術は、ほぼ完璧に悪意のある不正利用をシャットアウトできるようになっている。

 

唯一の脆弱性は人間

ただし、ひとつだけ脆弱な穴がある。それは人間だ。愚かな人間は、悪人にカード情報だけでなく、セキュリティコードやパスワードまで自ら教えてしまう。その典型例がフィッシングサイトだ。宅配便の不在通知、カード情報の更新通知などを装ったショートメッセージなどを大量に送り、本物そっくりのカード情報入力ページに誘導する。信じ込んだ被害者は、自らの手でカード情報を入力し、親切にも悪人に教えてあげるのだ。

 

デビットカードを使った詐欺集団を摘発

広州市公安は、2024年6月、このような人間の脆弱性をついたデビットカード詐欺集団を摘発したと発表した。この詐欺集団は、7つの銀行で500枚余りのデビットカードを入手し、1100万元（約2.4億円）を手に入れることに成功した。また、海南省、福建省、江西省などにも協力グループが存在し、全体での事件金額は10億元を超えているという。1万元から10万元までの被害にあった人が多いが、中には銀行口座に付帯するローンを申し込まれ、20万元以上の被害にあっている人もいた。

 

対面でもリモートでも二要素認証

中国の銀行のキャッシュカードは、そのままデビットカードになっている。クレジットカードと同じように店舗で買い物をすることができ、限度額は銀行口座の残高になる。中国ではクレジットカードが普及をしなかったため、多くの人がこのデビットカードを使っている。海外でも「銀聯カード」として利用できる店舗が多く、海外旅行では必須のアイテムになっている。

銀行口座に関するさまざまな手続きをするには、身分証などを持参して、銀行の窓口に行くのが基本だが、支店数が日本ほど多くない中国では、電話やネットによる手続きが発達をしている。この時必要になるのが、サービス暗証番号だ。通常は6桁の番号で、カードの暗証番号とは別に、手続きをする際に必要となるものだ。

窓口で手続きをするには、身分証を提示してICチップを読み取り、目視で顔写真と本人を比較し本人に間違いがないことを確認する。そして、サービス暗証番号をキーパッドで入力してもらうという三要素認証が行われている。ネットで手続きをする場合も、スマホで身分証をNFCスキャンし、サービス暗証番号を入力するという二要素認証が行われ、銀行によってはショートメッセージでセキュリティコードを送り、それを入力してもらうという三要素認証をしているところもある。

 

電話手続きではキー入力だけで口座を操作できる

ところが、電話手続きの場合、高齢者が使うことも多いことから、身分証番号をキーパッドから入力、そして、サービス暗証番号もキーパッドから入力するだけで手続きができてしまう。2つの番号で認証をしているが、これでは二要素認証になっていない。

二要素認証とは2回認証を行うことではない。性質の異なる2つの要素を組み合わせて認証をすることだ。一般には「記憶」「所有」「生体」の3つの要素のうち、2つを組み合わせる。

窓口の場合、対面をするため、身分証の写真と本人の顔を確認する「生体」、身分証をスキャンする「所有」、サービス暗証番号を入力する「記憶」という三要素が使われている。ネットの場合、身分証をスキャンする「所有」、サービス暗証番号を入力する「記憶」の二要素が使われる。

ところが、電話の場合、身分証の番号を入力すればいいだけなので、ほんとうに身分証を所有しているかどうかまではわからない。つまり「所有」ではなく「記憶」になってしまっている。そして、サービス暗証番号も「記憶」であるため、一要素認証になってしまっている。

これはパスワードを2つ設定するのと同様に愚かなことだ。パスワード「password」を「pass」と「word」の2つにしてもセキュリティ度は向上しない。この電話手続きの抜け穴が犯行集団により悪用された。

 

電話手続きでキャッシュカードの再発行を申請

犯行集団は、ネットの闇サプライチェーンから、61万件の個人情報のリストを入手した。それには名前、住所、身分証番号、銀行口座番号、携帯電話番号そしてサービス暗証番号が含まれていた。このサービス暗証番号が含まれていたことから、今回の電話手続きによる詐欺が実行された。この61万件のリストの価格はわずか5000元（約10.8万円）だったという。

犯行集団は銀行に電話をして、カードの読み取りができなくなったという理由で再発行手続きを申し込んだ。紛失をしたという理由にしなかったのは、紛失の場合、警察への届出が必要になることがあるからだ。また、同時に引っ越しをしたので住所変更をしたいと申し出る。そして、身分証番号とサービス暗証番号をキーパッドから入力をすると、詐欺集団が指定した住所に新しいデビットカードが送られてくるため、これで金のインゴットなどの換金性の高い商品を購入した。

対面またはネットでの手続きでは、身分証の提示またはICチップの読み取りが必要になるため、身分証を持っていない犯行集団は手続きができない。

 

銀行も不審に感じた

ただし、銀行側もまったく無策だったわけではなく、約900枚のデビットカードの再発行が申請されたが、再発行されたのは500枚程度だったという。また、指定した住所での受け取りに本人確認を必要とする方法で送付をする銀行もあり、最終的に買い物に利用できたのは230枚程度だった。

銀行の担当者の中には、再発行と住所変更が同時に行われることを不審に思い、また電話手続きのセキュリティ度が他の方法に比べて低いということから、電話手続きを断り、ネットか窓口で手続きをしてほしいと案内したケースもあった。

また、某銀行では、突然、再発行と住所変更を同時に申し込む例が増えたことに不審を感じ、顧客センター担当者にネットか窓口に誘導するように通達し、また、広州市公安にも情報を提供した。これにより、広州市公安が内偵調査を始め、摘発につながった。

 

フィッシングサイトに引っかかる人間が最大の脆弱性

この事件の問題は、サービス暗証番号まで含めた個人情報が闇サプライチェーンで売買されているということにある。この個人情報の出所は、フィッシング詐欺で収集されたものと見られている。広州市公安局経済捜査隊の李昀璁隊長は、新華社の取材に応え、身分証明書や電話番号、パスワード、暗証番号の入力をネットで求められた場合、その相手が銀行や公的機関であっても、本物であるかどうかを立ち止まって確認してほしいと呼びかけている。

また、暗証番号は、生年月日や電話番号を使う人が多く、犯行集団が容易に推測できてしまうことがある。電話手続きの場合であっても、ショートメッセージでセキュリティコードを送るなど、二要素認証をしっかり確立することが求められるとしている。

セキュリティ技術は高度に進化をしているが、人間の方は進化をしていない。人間が最大のセキュリティホールになってしまっている。