米国IC3(Internet Crime Complaint Center)が警告を鳴らす前払式カード偽造等の新たな詐欺手口

　筆者は過去において多くの機会を割いてカード犯罪とりわけ詐欺社会への警告と対応問題をサイバー犯罪の中核問題の1つとして取り上げてきた。
　7月18日、IC3は匿名性を持つプリペイド・カード(ギフトカード)のバーコード情報の偽造、商品窃盗・返金請求詐欺(注1)、ソーシャル・エンジニアリング(注2)および広告サイト・リンク・ソフト(Adware-Chitka )(注3)の変種ウイルスにつき新たな警告を行った。

　IC3が指摘する問題の中心は、米国のギフトカードは複数の様式があり、アマゾンなど小売サイトが発行するプラスチック・ギフトカード(physical gift card)、e-mail 発行型、モバイル発行型や店頭やオンラインで購入する方式等が上げられる。この複数の利用方式がゆえに、詐欺師による複数のポイントの不正操作を可能とさせる点にある。

　今回のブログは、IC3が取り上げるこれらのギフトカード詐欺等の犯罪手口について、その概要を整理するものである。

１．ギフトカードの不正加工やその利用(Gift Card Tampering)
〔手口１〕
・詐欺師は店舗内にある生ギフトカードをいったん盗む。
・次に、同カードにギフトカード番号とアクセス・コードを入力・記録する。
・詐欺師は入力済のカードを店舗の元の場所に戻す。
・正当な顧客は、同ギフトカードを購入する。
・詐欺師は繰り返しすでに内容を盗み取ったギフトカード番号に基づき、残高ポイントをチェックする。
・いったん保有者に利用可能残高につき注意喚起がなされると、詐欺師は直ちにオンラインで残高ポイントの消費を開始する。 (注4)

〔手口２〕
・詐欺師は小売業者が発行したギフトカードのバーコード情報を不正に取得する。
・次に、UPSジェネレーター(米国商品流通コード作成)・ソフトウェアを使ってコピー版のUPSステッカーを作成する。(このコピー版ステッカーは詐欺師のオリジナル・ギフトカードの内容と合致する)
・詐欺師はそのコピーカードを店舗の未使用カードに貼り付ける。これら情報盗取詐欺師は、アクセスコードやPINの不正操作に習熟するとともに未使用カードの封印を壊さずにギフトカードの不正加工技術を習熟してきている。
・正規の顧客はそのギフトカードを購入し、そこでの新たなポイント残高情報はオリジナルギフトカードの残高に移行する。
・詐欺師は繰り返しアクセスコードやPINを用いてポイント残高をチェックする。
・いったん保有者に利用可能残高につき注意喚起がなされると、詐欺師は直ちにオンラインで残高ポイントの消費を開始する。


　
〔手口３〕
・詐欺師は店舗内でギフトカードのバーコードの写真を撮る。
・詐欺師は、フリーウェアーのオンラインプログラムを使って一次元バーコード(左)を2次元バーコード(右)に変換する。



・詐欺師は、店舗内で使用する偽のモバイルギフトカードを作り出すため発行者のモバイル・アプリの動画作動画面と二次元バーコード内容を結びつける。
・正規の顧客は偽造されたギフトカードを購入する。その購入残高(マスターカードの残高)はクローン・バーコードに記録され、ギフトカードの裏面に表示される。買物するたびに正規カード残高は書き換えられない。マスターカードと同じ情報を記録するクローンカードのステッカーが書き換えられる。
・詐欺師は繰り返し発行者のウェブサイトのカード残高のチェックするか、または呼び出し手に対し照会番号ガイダンスを行う発行者の双方向音声システム(Interactive Voice Response)を使って連絡する。
・いったんロードされた残高につき注意喚起がなされると、詐欺師は直ちにクローン・カードを換金してしまう。

２．商品窃盗(Merchandise Theft)と返金詐欺(Return Fraud)
・まず詐欺師は店の商品を盗む。
・詐欺師は返金手続き(注5)のため店の顧客サービスカウンターに持ち込む。その際、「領収書なしの返金(No receipt return)」(注6)手続きを申し入れる。
・不正使用回避のため本人確認のため「運転免許証」のコピーが行われるが、多くは偽の免許証である。
・詐欺師は返品した商品と同額のギフトカードを店から受け取る。
この手口はマネーロンダリングのマネーミュールに似た物といえる。(つまり、複数の窃盗犯や返金詐欺犯が関与している点である)。
・詐欺師は無料広告サイト(classified advertisement websites)を使って再販業者に転売する。その再販業者は小切手の現金化店舗(check cashing stores)など二次市場でカードを販売したり、麻薬取引に使用する。
・ギフトカードは他のカードを購入するための洗浄機能のために購入される。

３．ソーシャル・エンジニアリング
・ギフトカード所有者は無料広告サイトを通じてオンライン販売を試みる。
・詐欺師はギフトカードの所有者を“buy”と呼ぶ。
・詐欺師は売り手に対し、カード残高確認と詐欺師・カード所有者と商人の3者間の双方向音声システム(Interactive Voice Response)を活用する点を強調する。
・売り手はギフトカード換金番号を電話して残高を確認するためカード番号とアクセスコードを入力する。
・詐欺師はギフトカードとアクセスコードの入力時にソフトウェアを利用する。
・詐欺師はオンラインでカードの残高を使用する。

４．アドウェア・ウィルス
　IC3は“Chitka”という広くいきわたっているアドウェアウィルスの変種に対する注意を向けている。このウィルスの被害はこの数ヶ月前から確認されているが、最近IC3は“Chitka”の作動内容につき情報を受け取った。
　このウィルスは、バナー広告を利用し、閲覧者がクリックすると収入が発生させるよう感染させるよう設計している。この変種ウィルスはブラウザの設定、レジストリー・キー、ウィンドウズのホストファイルを編集する機能を持つ。
・さらに、この変種ウィルスは追加的ウィルス、事前認証やユーザーがブラウジング中のクッキー検索機能等をダウンロードさせることが判明した。

******************************************************************************************************************

（注1) 店頭販売で購入した場合にもクーリング・オフ制度の活用をと思われがちであるが、クーリング・オフが適用される場合は、「電話勧誘」や「訪問販売」などにより、始めは購入者側の意思ではなく、販売者側からの突然の働きかけにより商品を購入した場合に限られる。
　購入者側の意思で販売者側に働きかけ、商品を購入した場合（購入契約を結んだ場合）は、不良品だった場合や誤出荷の場合を除き、返品・交換はその店のサービスとなり、あくまで店側は返品に応じる義務はない。

　なお、参考までに「通信販売の返品ルール」につき補足する。(国民生活センター「2009年特定商取引法改正のポイント」から一部抜粋。法律、省令は筆者が正式名に変えた)
　通信販売業者が返品特約を広告に表示していない場合は、商品到着後8日以内であれば、送料消費者負担で返品が可能になりました。返品特約を表示する場合は、消費者が見落とすことがないように、広告の目立つ場所にはっきり記載しなければなりません。返品の可否、条件、返送料の負担の有無を分かりやすく表示することとされている。（特定商取引に関する法律第11条第4号、同法第15条の2、省令(特定商取引に関する法律施行規則)第8条第1項）

　これはクーリング・オフとはまったく別の制度です。通信販売にクーリング・オフはありません。返品に関して表示がない場合には返品できますが、「返品不可」との表示がある場合は返品できません。また、返品の条件について記載があれば、その内容に拘束されます。
(以上のほか、特定商取引法の解釈や各種サービスに係るガイドラインにつき、詳しくは消費者庁「消費生活安心ガイド」サイトで確認されたい)

(注2)“Social Engineering ” とは、ネットワークの管理者や利用者などから、話術や盗み聞き、盗み見などの「社会的」な手段によって、パスワードなどのセキュリティ上重要な情報を入手すること。パスワードを入力するところを後ろから盗み見たり、オフィスから出る書類のごみをあさってパスワードや手がかりとなる個人情報の記されたメモを探し出したり、ネットワークの利用者や顧客になりすまして電話で管理者にパスワードの変更を依頼して新しいパスワードを聞き出す、などの手法がある。個人確認が不十分だったり、組織内部での機密情報の管理ルールが不完全だと、この手法によって容易に機密が漏洩してしまう。(IT用語辞典e-Words から抜粋)
　なお、より専門的な説明としては“CSO Online”の解説サイトを参照されたい。

(注3)“Adware-Chitka” とは、Webコンテンツの作成者が訪問者に広告を見せる際に参照するJavaScriptファイルをいう。なお、マカフィーは「さらなる分析の結果、このスクリプトは現在、McAfeeの有害な可能性のあるプログラムの基準を満たしていないと判断されました」と安全性価判断しているが、筆者はこの判断につき疑問を持つ。
　また、マイクロソフトは、ユーザー向けコミュニティサイト“Microsoft Community”において「How to remove “chitka”popups」に関する手順解説を行っている。

(注4) ここの部分の正確な理解は難しい。筆者なりに米国金融機関による“alert”を顧客に送信する場合とはいかなる場合を指すのかにつき利用規約等にもとづき調べてみた。結論を言うと、要するにカードホルダーに対する利用可能残高通知兼利用開始通知と考えるべきであろう。
　参考までにTCF Bankの貸越警告通知文を見ておく。

Be aware of your available funds
-
What is my “available balance?”
Your available balance is the amount that is available for withdrawal from your account. Generally, your available balance is deposits minus withdrawals, transfers, debit card authorizations, and fees.

Checks you deposit are not immediately available for withdrawal. Therefore, part of any check you deposit may not be included in your available balance for several days. See TCF’s funds availability schedule for more information.

When you use your debit card and TCF authorizes the transaction, TCF temporarily reduces your available balance by the amount of the authorization, even though the money does not come out of your account at that time. This reduction generally lasts for 3 business days unless the transaction reaches TCF for payment sooner.

When TCF reduces your available balance because of a debit card authorization, there is less money available to pay other transactions. This could cause your account to be overdrawn when it otherwise might not be.

Please note that debit card transactions can reach TCF for payment sooner than, or later than, 3 business days. They can also be for an amount different from the amount we authorized. Therefore, you should keep careful track of your debit card transactions, as they may not all be reflected in your online account balance

(注5) 米国の通販ビジネスにおける「返金・交換システム」利用規約(policy)文言例。
米国大手通販「ThinkGeek.com」は、Geekと呼ばれるほどのコンピュータやITテクノロジ、エレクトロニクス好きな人々をターゲットにしたガジェット、コンピュータ周辺機器、衣料品、菓子類、雑貨等の商品を企画・販売している米国最大手の通販サイトである。
その“Return Policy & Procedure”の解説文言部分を一部抜粋する。

Can I just exchange my items for new ones?
At this time, we do not process even exchanges. If you need a different size or color of an item you ordered, when your return is received, you will be issued a gift certificate (store credit) for the amount of the item.

(注6) 日本のギフトカード換金・未使用残高の返金に関する規約文言例
「ギフトカードの換金・返品・未使用残高の返金はできません。ギフトカードは有効期間中、カード残高の範囲内で何度でもご利用いただけます。ギフトカードの利用可能ポイントよりも安い商品と交換された場合は、有効期間中に、未使用残高で交換可能な商品との交換をお願いいたします。」

　しかし、このような規約文言の法的に見た適法性に関しては、なお多くの疑問が残る。時間の関係で今回のブログでは詳しく論じないが、英国メディア“Guardian”の2008年12月20日付け記事「No receipt? No problem, you can still get a refund」の要点を紹介しておく。

・販売店はしばしば「領収書がなければ返金や返品は出来ない」という規約文言を試みる。単に購入者が色が好きでないという理由である場合、いかなる店も、商品の交換や返金に応じる必要はない。しかし、商品に欠陥があった場合には、販売店は領収書を要求する権利を持たない。クレジットカード利用控えやカード請求書―そのように製品を購入したとき立ち会っている人が証明するのみで法的には十分である。

・「特売品については返品は出来ません」という通知文言も不適切である。
買い手が単に気が変わったのであれば、店は特売品を交換する必要はないが、購入した商品が不完全品であるなら、消費者はいつも返金や完全な商品を要求する完全な請求権を持つ。それらが販売された価格の金額の高い低いは重要な問題ではない。

・また、不完全でない商品の返品にかかる返品費用請求(返品送料とは別に請求)も違法である。

**************************************************************************************************************
Copyright © 2006-2013 芦田勝(Masaru Ashida)．All rights reserved. You may display or print the content for your use only.
You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.