サイバーセキュリティの被害者になりかけた話
それはある日のことでした。
Yuubariの携帯電話に一本の電話がかかってきました。
スマホの住所録に登録されていない知らない電話番号でしたが、とりあえず出たところYuubariがいつも使っているクレジットカードの会社のセキュリティ担当の方と名乗る方からの電話でした。
なりすましによる詐欺の電話が問題になっている現在、Yuubariも「本当かな?」と一瞬疑いましたが話を聞いてみることに。
その方の説明によると、「Yuubariさんのクレジットカードが使用できなくなっているかと思いますが、そういったことはないでしょうか?」とのことでした。
そういえば!!!
その電話がかかってくる数日前から某大手ネット通販でクレジットカードで買い物をしたとき、ある一定の値段の品物を買おうとすると「カードが有効か確認してください」という内容のメッセージが出て買えなかったことがありました。
カード番号を入れなおすと買い物が進んだのでそのときは気にしませんでしたが・・
そこでどういうことなのか電話の方に確認したところ、どうもYuubariのクレジットカードの番号で様々な今までにないネット通販による買い物がされているので、Yuubariさん本人が行った買い物かどうか確認したいとのことでした。
電話の方が疑わしい複数のサイトで行われた買い物についてひとつひとつ列挙してくれましたが、ひとつもYuubariが買い物を行った覚えがありません。
すぐにその買い物の取引を中止してもらい、引き落としが行われないように手配してもらいました。またそのクレジットカードについては即時使用停止(後日新しい番号のクレジットカードを送ってもらう)と処置にしてもらいました。
それでいったん話は落ち着いたのですが・・・
仮にも以前に情報処理安全確保支援士(SC)に合格した身です。
興味もあったので、いったいどういう経緯で自分のクレジットカードの番号が第三者に知られたか気になったので根掘り葉掘り聞いてみました。
Yuubariが「どういったところから私のクレジットカードの番号は知られたのですか」と尋ねると、そのセキュリティ担当の方曰く「Yuubariさんがお使いのサービスやサイトから番号が漏れたのではなく、番号を逐次入力する方法で第三者が不正利用しました」ということでした。
ブルートフォースか^^;
一時期某決済サービス(〇〇億円還元キャンペーンとかやっていたところです)のサイトのセキュリティがガバガバなつくりになっていて、ランダムにクレカの番号を何回入れても待ち時間を設けない馬鹿な仕組みになっていて問題になっていましたが、おそらくそういうところから漏れたんでしょうね。
これの怖いところは、仮にそのサービスを使っていない人に対してもランダムで関係ない誰かのクレカの番号に行きついてしまうところ。本当に迷惑で無責任なサイト運営だと思います。
また、今回どうやってYuubariじゃない第三者がYuubariのクレジットカードを不正したことに気づいたのか訊いてみたところ「統計情報から判断しました」ということでした。
想像するに、閾値を設けカード利用者が普段使用しない特定の買い物(特にネットショッピング)を一定期間に行った場合にアラートで管理者に通知するといったような仕組みのようです。このあたりもSC試験の午後問題でよく見た話です。
カード会社の方の対応は非常に丁寧でYuubariの質問には答えられる範囲で答えてくださり、「ほかにも疑問や不安な点がございましたら、今表示されている番号までお問合せください」という言葉をいただいて電話を切りました。
念のため電話の履歴の番号をグーグル先生に調べてもらったところ間違いなくそのクレジットカードの会社のセキュリティ部の番号でした。
もともとYuubariは自分のスマホに持っているクレジットカードの利用情報が即時確認できるアプリを入れて定期的に確認していますが、不正利用されたのはYuubariが確認していなかった短期間の間に行われたようです。
この一件以来、毎日持っているカードの利用記録をチェックしています^^;
今回は被害を未然に防ぐことができましたが、初めてサイバーセキュリティの被害者になりかけたということでクレカを使う以上常に利用者情報はチェックしないといけないなと自覚しました。
そして何より、今回利用停止したクレジットカードが公共料金や各種サービスの引き落としと紐づいていたので、すべて別のクレジットカードに登録を変更するのが非常に面倒でした・・・
皆さんもどうぞお気をつけください。