オンライン詐欺などで盗まれたクレジットカード情報がどのように売買されているかをRSAセキュリティが紹介している。
RSAセキュリティは4月17日、オンライン詐欺犯罪の動向を解説した月例リポートを発表した。この中で盗まれたクレジットカード情報の売買実態について紹介している。
同社が過去数カ月にわたって観測したサイトでは、ロシア語でクレジットカード情報やオンラインバンキング口座の売買、情報が有効であるかどうかを照会するサービスが提供されていた。サイトは2007年11月から稼働し、21万7000件以上の情報の販売および照会を行ってきた。また、販売を控えた約4万件の情報が別に存在していた。
サイトは一般的なオンラインショッピングサイトと同様の機能を備えており、売り手はオンライン上で手続きするだけで広告を掲載できる。買い手はプライベートなメッセージで同サイトにコンタクトを行い、すぐに取引を完了できるという。
今年3月末、同サイトではユーザーインタフェースのデザインと管理用アプリケーションが変更され、その際に同社では科学的な調査手法を用いて盗まれたクレジットカード情報データベースの回収に成功した。販売を控えていたクレジットカード情報の内容は、カード番号とCVV2コード、有効期限、保有者の氏名、住所となっていることが分かった。
カード情報を照会するサービスでは、小売りサイトの請求機能を悪用したり、小売店の口座を悪用して決済処理会社に承認申請をしたりするといった手法で行われていた。こうしたサービスは、アンダーグラウンド市場でも活発に行われている。
米Symantecの最新版の脅威動向リポートによれば、アンダーグラウンド市場で売買されるクレジットカード情報の価格は6セントから30ドル、銀行口座情報は10〜1000ドルとされ、クレジットカード情報は付加情報(保有者の個人情報など)の多さによって価格が変動する。銀行口座情報の価格は残高の多少で変動するいう。
RSAセキュリティでは、回収した情報を分析リポートなどと併せて関係者に提供した。
Copyright © ITmedia, Inc. All Rights Reserved.