　ポイントを使って直接、商品を不正購入されることもあるが、ポイントを別の共通ポイントに移行し、追跡を難しくした上で現金化する“ポイントロンダリング”の手法もよく用いられている。昨年9月に報じられた「smartWAON ウェブサイト」の不正ログイン被害では、この手法が使われた。日本で普及している共通ポイントの仕組みが悪用されている。

　共通ポイントの中にはバーコード方式のものがある。この方式はポイントカードの番号さえ分かれば、コンビニなどの買い物で使えるバーコードを生成できる。番号を入れてコードを表示するスマホアプリも存在する。18年9月の「dポイントカード」の不正利用は、この弱点を突いたものだといわれている。コンビニの店頭には、メッセージアプリを使った「なりすまし詐欺」にもよく悪用される各種のプリペイドカードが並んでいるのはご存じの通りだ。このように犯罪者は、複数の段階を踏んで現金化を試みている。

　マイレージがたまっている航空会社のアカウントも狙われている。今年1月、セキュリティ企業Recorded Futureの調査チーム「Insikt Group」は、Airline Fraud-as-a-Service（AFaaS）と名付けた、航空会社のチケットを狙う巧妙な詐欺を警告するレポートをまとめた。レポートで取り上げたウクライナドメインのサイトでは、乗っ取られた航空会社のアカウントが、たまったマイルごとに値段を付けて販売されていることが分かる。

不正に取引されている航空会社のログインアカウントとマイレージ

　さまざまな手段で不正に入手された航空券は、旅行会社のものを複製したWebサイト上で、主にロシアやその周辺の国々に向け、ディスカウントされた価格で売りさばかれているという。

　これらの不正ログインの直接被害に対し、利用者側で採れる自衛策は、不正利用に気付いたら、サイトのカスタマーセンターに連絡し、アカウントを速やかに停止してもらうことだといえる。

特殊詐欺などにも悪用、アカウント情報流出の二次被害

　アカウントのペイメント情報を悪用する直接的な犯罪行為だけでなく、登録されている住所、電話番号、購買履歴などの個人情報を、特殊詐欺などの犯罪に二次利用されるリスクも正しく理解しておくべきだ。

　次のスクリーンショットは、筆者のスマホにSMSで届いた、フィッシング詐欺に関連すると思われるメッセージだ。どうやら佐川急便の不在通知を装ったメッセージらしい。

筆者が受け取ったSMSを利用したフィッシング詐欺メッセージ

　その日荷物が届く予定があり、もう少し宅配業者っぽい名前の偽装ドメインから送られていたら、思わずURLをタップしていたかもしれない。普段利用しているECサイトからメールアドレスや購買頻度などの個人情報が流出していれば、さらに“タップされやすい”偽装メッセージを受け取っていただろう。購買履歴、視聴履歴などの行動情報を含む個人情報は、不在通知を装う詐欺だけでなく、増加している「架空請求詐欺」にも利用される恐れがある。

　このような二次被害を抑えるためにも、個人情報を預かるサイト側は、これまでより能動的に不正ログイン対策を打つ必要がある。「発覚後にアカウントロックやパスワードを変更」するだけの事後処置では、それ以上の不正購買は抑止できても、いったん流出した個人情報は元に戻らない。

不正ログイン被害、有効な対策は？

「7pay」不正ログイン被害で話題「二段階認証」とは？
モバイル決済サービス「7pay」で不正ログイン被害が相次いだ問題。運営元のセブン・ペイが開いた会見で、記者が「なぜ、二段階認証を導入していなかったのか」と質問しました。ここで問題視されている「二段階認証」とはどのようなものでしょうか。
「FamiPayは大丈夫？」ネットで不安の声　ファミマは「不正ログインは起きていない」「二段階認証を使用」と明言
「7pay」問題のあおりを受け、ネット上では「FamiPay」のセキュリティ面を心配する声が出ている。ファミリーマートに見解を聞いたところ、「不正ログインは起きていない」と明言。二段階認証などを使用しており、セキュリティ面に問題はないと説明した。
クレカ不正利用で暗躍するbotの脅威　セキュリティコード特定は“朝飯前”
クレジットカード不正利用の背景には「ダークウェブ」の存在とbotの悪用がある。botの検知システムを利用することで、被害を未然に防ぐことが可能という。
チケット購入アクセス「9割がbot」→“殲滅”へ　イープラスの激闘を振り返る
今年8月、「e＋」への一般先着チケット購入アクセスの9割がbotによるものだった、というニュースが報じられた。あれから4カ月、bot対策はさらに進み、目に見える効果をあげている。