クレジットカードの危険性

多発するID犯罪――企業が取るべき5つの「防御策」を説く

関連トップページ：コンプライアンス | セキュリティ管理（CSO Online）

http://www.ciojp.com/contents/?id=00001656;t=0

米国では現在、個人のID（または、個人情報）を盗み取り、悪用するという犯罪が多発している。ここでは、企業がこの種の犯罪から身を守るための5つの手法を紹介する。情報セキュリティに携わる企業人、とりわけ、CSOの立場にあられる方は、ぜひ今後の参考にされたい。

サラ D.スカーレット　text by Sarah D. Scalet

ID犯罪の増大

ニューヨーク市警本部コンピュータ犯罪特捜班の責任者（警部補）、ジョン・オテロ氏。同氏は、「インターネットの普及により、社会保障番号を含む個人情報を不正に入手する手口が一層巧妙になり、かつ、効率的になった」と指摘する。　Photo by Jay Blakesberg

　個人のIDを盗み取り、本人になりすまして詐欺行為を働く――今日の米国では、この種の犯罪が社会全体を揺るがす大問題と化している。米国連邦取引委員会（FTC）の調査によれば、同国における「ID盗難・ID詐欺」（以下、「ID犯罪」と呼ぶ）の被害者数は2003年1年間だけで約1,000万人に上ったという。また、その被害額は、個人の場合で1人平均500ドルに達し、米国企業全体のそれは推定で年間480億ドルにも及んでいる。

　そうした中で、米国のブッシュ大統領は昨年12月、ID犯罪への対抗措置として、「FACT法（Fair and Accurate Credit Transactions Act of 2003）」の施行を承認した。同法は、消費者個人が自己の信用レベルを管理・監視できるようにするための法律である。

　FACT法が施行されれば、ID犯罪の被害拡大には一定の歯止めがかけられるかもしれない。しかしながら、ID犯罪の形態は、単純なクレジットカード詐欺から、巧妙で複雑な手口を通じたID盗難に至るまでと多岐にわたる。そのため、ID犯罪を防ぐのは、きわめて困難であるのが現状だ。

　ちなみに、ニューヨーク市警察は先頃、あるスリ集団を逮捕したが、彼らのねらいも個人IDの窃盗にあった。つまり、犯人グループは、被害者の財布から個人ID（社会保障番号）が明記されたカードを盗み取り、コンピュータを用いてニューヨーク州の運転免許証を即座に偽造していたのだ。そして、彼らは、犯行から数時間以内、すなわち、被害者が自己の「信用払い（クレジッド・カードや身分証明書などによる信用払い）」の受け付けを停止するよう信用審査機関とカード会社に通達する前に、偽造した身分証明書（運転免許証）や被害者のクレジットカードを用いて、高価な物品を購入していたのである。

　この事件を担当した、ニューヨーク市警本部コンピュータ犯罪特捜班の責任者、ジョン・オテロ警部補は言う。

　「ハンドバックの1回の窃盗で得られる現金収入は100ドルか200ドルがせいぜいだろう。だが、個人のIDを盗めば1回当たり4,000ドルから1万ドルが手に入る。犯罪者の標的がIDに集中するのは自然の成り行きなのだ」

多様化する手口

　先にも触れたとおり、ID犯罪の手口は多様化している。その最も単純な手口は、盗んだクレジットカードの番号や「PayPal」または「eBay」のアカウント名／パスワード（これらは、PCなどを通じて盗み取る）を用いて高価な物品を購入し、それらを転売して現金化するというものだ。

　また、より複雑で巧妙な手口としては、インターネット上に偽のクレジット・ラインを設置して、クレジットカード番号や銀行口座番号といった個人データを不正に入手するというものがある。もちろん、そのねらいは被害者の銀行口座にアクセスして現金を引き出すことだ。さらに、ID犯罪の中には、盗んだ個人IDを用いて政府発行の免許証やパスポートを偽造し、物品の購入やアパート賃貸料の支払いに悪用するといったケースもある。ちなみに、それらの支払いが滞り責任を問われても、IDの窃盗犯は被害者の名をかたったりするのだ。

　ならば、こうした犯罪者にとって最も利用価値の高い個人情報とは何なのだろうか。米国の場合、それは社会保障番号にほかならない。社会保障番号は、たとえそれが盗まれたとしても変更がきかない。加えて、社会保障番号があれば、犯人は被害者本人に完璧なかたちで「なりすます」ことができるのだ。

　「しかも、インターネットの普及により、社会保障番号を含む個人情報を不正に入手する手口が一層巧妙になり、かつ、効率的になった」と、前出のオテロ氏は指摘する。

　例えば、現在、「フィッシング詐欺」と呼ばれるID犯罪が急増しつつあるが、これもインターネットを悪用した詐欺行為だ。その手口は以下のようなものである（コラム『フィッシング詐欺にご用心』も併せて参照）。

　まず、犯罪者は、有名企業のeコマース・サイトの運営担当者であるかのように振る舞い、その加入者に偽りの電子メールを送りつける。メールの内容は、例えば、「ユーザー・アカウントの再構築（または、プレゼント送付）のために、あなたのアカウント情報の詳細を確認する必要があります。ぜひご協力ください」といったものだ。

　このメッセージは、一見すると有名企業から送られてきた正式な依頼文に思える。また、それを装うために当該企業の会社ロゴがメールに貼り付けられていることもある。だが、当然のことながら、このメールは偽造文書だ。メール内に示されたアカウント入力フォームのリンクは、犯人が、個人のパスワードや社会保障番号を収集するために設置したWebサイトに直結しているのである。

　「この手口を駆使すれば、人の財布を強奪したり、各家庭の郵便受けをあさってクレジットカード関連の封書を盗んだりするよりも、はるかに効率的に個人情報を入手することが可能になる」と、米国タンブルウィード・コミュニケーションズのマーケティング担当上席副社長、デイブ・ジェバンズ氏は指摘する。ジェバンズ氏は、フィッシング詐欺の防止・抑制を目的に新たに設立された業界団体、アンチフィッシング・ワーキング・グループ（www.anti

phishing.org）の会長でもあり、フィッシングの脅威をだれよりも知る人物である。同氏は、さらに続ける。

　「周知のとおり、インターネットは自分の欲しい情報を収集するうえで実に便利なインフラだが、それは、犯罪者にとっても同様だ。フィッシング詐欺は、それを端的に示す好例だと言えるだろう。また、インターネットを介したフィッシング詐欺には、犯罪者にとって実に好都合な特性がある。それは、犯行の場所を選ぶ必要がなく、自分の居場所が突き止められる可能性も低いということだ」

COLUMN : フィッシング詐欺にご用心！

Read More...

個人による自己防衛の限界

　もちろん、フィッシング詐欺のようなインターネット犯罪の最新動向に常に気を配り、かつ、社会保障番号が記されたカードなり、書面なりを持ち歩くのを避けるようにすれば、ID盗難の危険性を軽減することはできる。また、個人の情報が明記された不要な書面を常にシュレッダーにかけるよう心がければ、「ゴミ箱」の中から個人IDが盗まれる心配もなくなるだろう。

　しかしながら、個人レベルで行える防衛策には限界がある。

　例えば、前出のオテロ氏が担当した別の事件では、複数の個人が知らぬ間に自分のIDを盗まれ、それぞれの自宅を担保に総額800万ドルもの大金が借り出されたという。このケースでは、被害者全員が同じ年に同じ自動車ディーラーから車を購入していたために、捜査当局は当初、ディーラーの従業員に嫌疑をかけた。つまり、ディーラーの従業員が、被害者らの個人情報（これにはもちろん、社会保障番号も含まれる）を犯人らに売却したと見なされたのだ。しかし結局、ディーラーの従業員に不審な行動は認められなかった。結果として、犯人による個人情報の入手ルートを詳細に割り出すこともできなかったのである。

　オテロ氏は言う。

　「実のところ、この事件の被害者はいずれも通常どおりのやり方で車のローンを申し込み、ディーラーの従業員も所定のマニュアルに沿ってそれを処理していた。これはつまり、ローンの申し込みというごく日常的な行動を取るだけで、重要な個人情報が盗まれる危険性があることを意味している。そのようなリスクを、個人レベルの“慎重な行動”だけで回避するのは不可能に近い」

　また、米国の弁護士であり、過去にID詐欺の被害を受けた経験もあるマリ・フランク氏は、「IDの盗難は、消費者個人が防御できるような犯罪ではない」と語り、以下の説明を加える。

　「例えば、私のIDを盗み、私になりすました犯人の手口は実に巧妙だった。犯人は、信用調査機関の担当者を装って、私の元に信用情報の供出を求める書面をオンラインで送りつけてきた。フィッシング詐欺などのネット犯罪が横行する今日であれば、私はそれに応じなかったかもしれない。だが、問題の書面が送られてきたのは7年前のことだ。当時は、そのような詐欺行為の存在自体が広く知られておらず、私自身も知らなかった。結果として、私は犯人の求めに応じて重要な個人情報を送信してしまい、それが悪用され私名義で多額の現金が借り出されたのだ。このような巧妙な犯罪を個人の力だけで阻止することはできない。やはり、個人情報や個人の財務情報を保持する企業・組織が、責任を持って防止に当たるべきなのだ」

5つの対策

　フランク氏が指摘するまでもなく、今日の企業にとって、自社の従業員や顧客の個人情報（および財務情報）をID犯罪から守ることは社会的な責務であり、また使命でもある。

　さらに、ID犯罪に対する防御策を講じることは「ビジネス上の多大な損失」というリスクを回避するうえでも重要だ。実際、（先にも触れたとおり）ID犯罪による企業の被害額は、すでに莫大な金額に膨れ上がっているのである。

　ならば、ID犯罪の防止・阻止に向けて、企業はいかなる手だてを講じればよいのだろうか。その答えとして、以下では5つの防御策を紹介することにしよう。

防御策-1　情報セキュリティをしっかりと確保する

illustration by Peter Ferguson

　情報セキュリティの確保は、ID犯罪から個人情報を守るための最も基本的な施策だ。例えば、今日の企業では、従業員や顧客の個人情報（社会保障番号や銀行口座番号などを含む個人情報）がデジタル・データとして社内のいずれかのコンピュータに蓄積されている。そこでまず、ファイアウォールなどのセキュリティ・ツールを駆使して、企業内データに対する外部からの不正侵入を遮断しなければならない。またそれと併せて、バックグラウンド・チェックの体制を整えたり、セキュリティ・ポリシーの遵守を社内的に徹底したりすることも大切である。

　その重要性を、元アメリカン・エキスプレスのワールドワイド・セキュリティ担当副社長、リチャード・レフラー氏は以下のように説く。

　「まず、バックグラウンド・チェックの体制を整えておけば、個人情報をねらう犯罪者が、会社の人事部オフィスなどに侵入し、従業員記録にアクセスするのを防ぐことが可能になる。また、『個人情報が明記された文書は、使用後すべてシュレッダーにかける』といったポリシーを社内に根づかせれば、ごみ箱をあさり、機密扱いの顧客データを盗もうとする犯罪者から情報を守ることができるのだ」

　また、レフラー氏はこうも指摘する。

　「一般的に、ID犯罪の組織は小規模で結束力も緩い。ただし、なかには非常に大規模で、高度な手口を使う組織もある。つまり、大規模なID犯罪組織の一味が、清掃担当者を装って社内の各部署への侵入を試みたり、廃棄物の中から個人IDを盗もうとしたりする可能性は十分にあるわけだ。それに対する厳重な警戒を忘れてはならない」

防御策-2　個人情報の扱いに制限をかける

　前述したとおり、個人がID犯罪から身を守るための1つの策は、社会保障番号の記載物を財布などに入れて持ち歩かないことである。それと同様に、企業も個人の社会保証書番号を不用意に扱ってはならない。

　例えば、ある金融機関が、顧客に郵送する預金取引明細書に社会保障番号を記載していたとしよう。この場合、封書の作成担当者から仕分け担当者、さらには、ごみ収集の人員に至るまで、さまざまな業務担当者が個人の社会保障番号を入手しうる。それがいかに危険であるかは、改めて説明するまでもないだろう。

　したがって、企業は、個人や従業員の社会保障番号の記載場所には細心の注意を払う必要がある。また、逆に言えば、社会保障番号の記載場所や取り扱いに制限をかけるだけで、顧客や従業員をID犯罪から保護できる可能性がぐんと高まるのである。

　この施策を遂行した1人に、米国IBMのCPO（プライバシー保護の最高責任者）、ハリエット・ピアソン氏がいる。

　同氏はまず、人事部の協力を仰ぎ、社内文書から社会保障番号を取り除く作業に着手した。またその作業を終えた同氏は、次に、IBMの従業員や扶養家族50万人と契約を結んでいる保険会社に着目した。つまり、IBM社員とその扶養家族に健康保険サービスを提供している約150社に対して、社会保障番号

を各個人を識別するIDとして用いるのを中止するよう要請したのである。

　この変更プロセスには、相応の経費と時間がかかり、要請への対応に消極的な保険会社もいくつかあったという。しかし、結果として、この施策は同社社員の社会保障番号が盗難されるリスクを大きく低減させた。それに伴い、ピアソン氏に対する社内的な評価も高まったのである。

防御策-3　顧客の住所変更の確認作業を行う

　ID犯罪者がよく使う手口の1つに、被害者当人の住所でクレジットカードなどの新規アカウントを開設して、その直後にアカウント内の住所だけを変更するというものがある。

　こうすることにより、被害者の自宅には、犯人が被害者名義で作成したクレジットカードの支払い請求書が送付されなくなる。そのため、被害者は、自分の信用報告書を確認したり、代金取り立ての代行会社から「未払い」の通知を受け取ったりするまで、犯人による詐欺行為に気づかない。結果として、犯人は、比較的長期間にわたり不正なクレジットカードを使い続けることが可能になるのだ。

　このような事態の発生を防ぐべく、現在、米国郵政公社やいくつかのミューチュアル・ファンド会社は、個人のクレジット・アカウントで住所変更が発生した際に、新旧両住所に向けて「住所変更の確認書」を送付するという施策を展開し始めている。これは上述したようなID犯罪を防止するうえで有効な手だてだ。

　だが、金融機関や小売会社、および電話会社の中には、この種の対策をいまだに講じていないところも少なくない。しかしながら、ID犯罪を少しでも抑制したければ、顧客アカウントの住所変更に対する確認と追跡の作業は不可避なのである。

　また、この施策を講じることで、顧客IDの盗難を早期に発見できる可能性も高まる。もし、それが実現されれば、その企業に対する顧客の信頼感は確実に増すことになろう。そしてそれは、企業のビジネスにとっても大きなプラスとなるのだ。

防御策-4　フィッシング詐欺に立ち向かう

　フィッシング詐欺は、企業にとって実に頭の痛い犯罪である。例えば、この詐欺の実行犯が、ある企業（仮にA社とする）のeコマース担当者になりすまし、A社の顧客の個人情報を入手しようと画策したとしよう。このような場合、A社がフィッシング詐欺を事前に察知して、それを阻止するのは実に困難である。

　前出のジェバンズ氏は言う。

　「フィッシング詐欺は、いつ、だれが、どこでその犯罪行為を始めようとしているのかが、まったく分からない。ゆえに、事前にそれを察知するのは不可能に近いのだ。それでも、企業が『当社では、お客様への電子メールの送付を一切行っておりません』、または『URL付きの電子メールは絶対に送付しません』といったメッセージをあらかじめ顧客に明示しておけば、フィッシング詐欺を事前に防止することは可能になる。だが、自社のオンライン・サービスにそのような制限をかければeコマースの展開自体が難しくなる。つまり、それは現実的な対処法ではないのだ」

　また、ジェバンズ氏によれば、自社の顧客に対するフィッシング詐欺の行為に気づいたとしても、多くの場合、それを阻止するまでにかなりの時間が取られるという。

　「フィッシング詐欺のWebサイト（フィッシング・サイト）は、全体の約40％が米国外でホスティングされている。そのようなサイトの場合、米国の法務執行機関に閉鎖を要請しても、実際の閉鎖までに平均160時間がかかる。それだけの時間があれば、犯人はかなりの数の個人IDを入手することができる」

　とはいえ、フィッシング詐欺への対抗手段がまったくないわけではない。

　「その1つの策は、顧客に対する教育を徹底的に行うことだ」と、元米国政府の重要インフラ保護会議議長であり、現在はイーベイ（eBay）のCISOを務めるハワード・シュミット氏は指摘する。同氏の説明は続く。

　「例えば、企業は『当社の場合、電子メールを通じてお客様の個人情報を収集することは絶対にありません』といった内容のメッセージを繰り返し発信するだけで、フィッシング詐欺をある程度防止することができる。また、自社のWebサイトにフィッシング詐欺に関するチュートリアルを設けて、詐欺の手口を顧客に理解させるのも有効だろう。実際、この施策は、当社のみならずアマゾン（Amazon.com）やAOLなどでも実践されているのだ」

防御策-5　 新技術を取り入れる

　一方、シュミット氏によれば、フィッシング詐欺の横行には、技術的な問題も絡んでいるという。

　「例えば、今日におけるeコマース・サイトの大半がユーザー認証に静的なIDとパスワードしか利用していない。フィッシング詐欺が増大した1つの理由は、そこにある」と、シュミット氏は指摘する。さらに同氏は、こうも続ける。

　「フィッシング詐欺を根絶するには、やはり認証技術をはじめとするセキュリティ技術の強化・拡充が必須であろう。幸いなことに、今日では、フィッシング詐欺などの巧妙なID犯罪に対抗しうるデジタルID技術や、それを用いた新たなタイプの製品が相次いで登場し、発展を続けている。企業は、そうした技術や製品を積極的に取り込んでいくべきだ」

　ちなみに、同氏は、フィッシング詐欺の阻止に不可欠な技術要素として、デジタル証明書の技術を挙

げている。確かに、デジタル証明書の技術を用いて、顧客と企業間での個人情報のやり取りをセキュアなかたちで行うようにすれば、フィッシング詐欺の実行犯が個人情報を「横取り」することはかなり困難になる。

　また、シュミット氏は、「個人情報をスマートカードなどに暗号化して格納し、企業システムに対するログインをそれを介して行わせるようにすれば、個人情報が盗難される可能性はさらに減少する」とする。

　さらに、同氏は、指紋などの人の生命特徴を利用した「バイオメトリクス認証」の技術もインターネットを媒介にしたID犯罪を防止するうえでは実に有効だと語り、以下の説明を加える。

　「バイオメトリクス認証には、あらゆるID犯罪を根絶やしにする可能性すらある。むろん、バイオメトリクス認証を実現するには、生命特徴を読み取るための特殊な装置が必要だが、最近になって、そうした装置（特に、指紋読み取り装置）の価格はかなり低下してきている。また、すべての新型コンピュータに指紋認証装置がバンドルされ、販売される可能性もあるのだ」

備えあれば憂いなし

コックス・エンタープライゼスのセキュリティ担当ディレクター、ボブ・ブランド氏は、ID犯罪の餌食になったCSOの1人だ。同氏は、その体験からID犯罪に備えることの重要性を肌身を持って知ったという。　Photo by Jay Blakesberg

　以上に示した対策を講じておけば、企業はID犯罪から自社の顧客と従業員、そしてビジネスを高い確率で守ることができるだろう。

　しかし逆に、これらの施策を一切遂行することなく、ID犯罪への備えを怠れば、近い将来、犯罪者の餌食にされるおそれは強い。仮に、そうなれば企業は自社の信頼を回復するだけでも多大な苦労を強いられることになる。

　その意味でも、ID犯罪の備えには万全を期すべきなのである。

　そのことの重要性をより具体的にお伝えするために、最後にもう1つ、ID犯罪の標的にされた企業の事例を紹介したい。それは、米国コックス・エンタープライゼスのケースだ。

　4年前、同社で働く複数の社員の元に、クレジットカード購入に対する「未払い通知書」が相次いで送られてきた。

　同社は、米国を代表するメディア・コングロマリットであり、およそ8万人の社員を擁している。もちろん、8万人もの社員がいれば、その中に「クレジットカードの支払いを滞らせがちな社員」が数名いたとしても不思議はない。だが、上記の未払い通知を受け取った社員らは、だれもがクレジットカードの支払いを滞らせたことはなかった。しかも、彼らの全員が、「まったく身に覚えのない物品購入に対する支払い」を求められていたのである。

　実際、当該の社員らに送付された未払い通知書には、彼ら名義のクレジットカードが使用された場所（店舗名とその所在地）や、購入された商品名などが明記されていたが、それらの店舗はいずれも米国アトランタに集中していた。ところが、当該社員らの住居はいずれもオハイオ州にあり、ここ数年来、彼らはアトランタに足を踏み入れたことすらなかったのである。

　こうした中で、同社の社員の間では、「自分たちの個人データが外部に流出し、不正に使用されているのではないか」という懸念が広がった。事実、コックスのセキュリティ担当ディレクター、ボブ・ブランド氏が調査した結果、あるITプロジェクトに関与していた請負業者が、一部社員の個人情報を社外に持ち出していたことが判明したのである。その当時を、ブランド氏は自省の意味を込めてこう振り返る。

　「恥ずかしい話だが、当時の私は、巨大化する組織とITインフラのセキュリティ管理に追われており、ID犯罪に対する防御を完全に怠っていた。もし、適切な対策を講じていれば、問題の発生を事前に阻止することができたかもしれない。少なくとも、当社のITインフラを扱う外部業者へのセキュリティ・チェックには、細心の注意を払うべきだった」

　ブランド氏は、事件の発覚後、被害者の信用を回復させる支援作業に当たった。だが、米国各州、および各国における個人の信用を回復させるには、多くの時間と手間が必要とされたという。

　また、逮捕された実行犯に対する判決内容もブランド氏と被害者らを失望させたという。なぜならば、犯人に対して裁判官が言い渡した刑罰は「執行猶予付きで懲役なし」という実に軽微なものだったからだ。

　「その裁判は（アトランタのある）ジョージア州の地方裁判所で行われたが、当時のジョージア州には、ID窃盗に対する法整備がなされていなかった。しかも、被害を受けた当社の社員らは、犯人が購入した品物への支払いを免除されてもいた。そのため、犯行による実施的な被害額もゼロに等しかったのだ。そうした要因が重なり、実行犯の罪がきわめて軽くなってしまったのだ」

　この経験からブランド氏は、「ジョージア州ID窃盗防止ネットワーク」と呼ばれる仕組みの立ち上げに関与することになった。同ネットワークは、企業と法務執行機関、および同州検事総長事務局とを結ぶ仕組みであり、ID犯罪の取り締まり強化と法整備を目的にしたものだ。この仕組みの実現により、ジョージア州は米国内で最も厳格なID窃盗法を成立させ、施行するに至ったのである。

　いずれにせよ、ID犯罪の恐ろしさを身を持って体験したブランド氏は1つの重要な教訓を得たという。それは、ID犯罪への予防策を講じるほうが、犯罪に見舞われてから事態を収拾するよりもはるかに簡単であり、かつ、合理的であるというものだ。同氏は言う。

　「ID犯罪は企業に壊滅的な打撃を与えうる。個人情報、個人IDの保護に最善を尽くすことは、今日の企業に課せられた当然の使命であり、義務なのだ。企業は絶対にそれを怠ってはならない」

（CSO Magazine Vol.4特別配布号に掲載）