カーディングとは？仕組みやダークウェブ上の動きなどを解説

カーディングとは？

カーディングは決済詐欺の一種で、サイバー犯罪者は盗んだクレジットカードまたはデビットカードの情報を用いて不正取引を行います。カードが有効かつ使用可能かどうかを確認するための一般的な方法は少額商品の購入です。使えることが判明したカードはより大規模な詐欺に利用されたり、アンダーグラウンドフォーラムで販売されたりする可能性があります。

カーディングの多くは、フィッシングやクレデンシャルスタッフィング、マルウェア攻撃といったより広範なサイバー犯罪の手口と結び付いています。

企業にとってカーディングはチャージバックや金銭的損失、規制当局の監視、評判の失墜といった不利益の原因になりかねません。特に機微性の高い顧客データが攻撃の際に漏洩した場合、その影響は深刻化します。

カーディングの仕組み

「カーダー」とも呼ばれるカードの不正利用を行う犯罪者は、フィッシングやデータ侵害による窃取、またはダークウェブマーケットプレイスでの購入を通じてカード情報を入手します。次にボットや自動化スクリプトを使い、カードが実際に使用できるかをWebサイト上で確認します。その際、検出を回避するために複数のIPアドレスや地域に作業を分散させることがほとんどです。

カードが有効である場合、商品購入に使用されたり、犯罪ネットワークで転売されたりする恐れがあります。これらの攻撃の展開は非常に早いため、リアルタイムで不正監視を行っていない企業による追跡は特に困難になります。また、カーダーは不正利用の防止対策が不十分なEコマースサイトを狙い、脆弱な認証システムを悪用することもあります。

ダークウェブ上のカーディング用データ

多くのカーダーは自らの手でカード情報を盗まず、収集に特化したサイバー犯罪者から購入します。カード情報はフィッシング詐欺、インフォスティーラーマルウェア、侵害されたPOSシステムまたはデータベースを使って収集されています。ダークウェブでは名義人の氏名・カード番号・有効期限・セキュリティコード（CVV）、場合によってはその他の個人情報を併せたカード情報一式を入手できます。

一部のフォーラムは継続的にカード情報を収集するためのマルウェアやツールへのアクセス権も販売しています。カーディングフォーラムはダークウェブ上に数多く存在するオンラインコミュニティで、盗まれたカード情報の売買や取引がサイバー犯罪者によって行われています。これらのフォーラムは侵害されたカードやカーディング用のソフトウェア、カーディングのノウハウ、フラウド・アズ・ア・サービス（サービスとしての詐欺）を扱う不法なマーケットプレイスとして機能しています。中には、高額取引のためのカスタマーサポートやエスクローサービスを提供するフォーラムも存在します。

カーディングフォーラム上では、セキュリティシステムの回避方法や特定の企業への攻撃手法、最近の侵害から入手したばかりの「新鮮な」データを悪用する方法などについてよく議論されています。そのため、カードを不正利用するキャンペーンや流出した企業データに関する早期警告を求める脅威インテリジェンスチームは、このようなフォーラムを監視する必要があります。なぜなら企業の多くは不正行為が検出されたり、データがアンダーグラウンドマーケットに流出したりするまで、データを侵害されたことに気付かないからです。

カーディングが企業に与える影響

カーディングが行われることで、チャージバック率の増加や経済的損失に加え、長期的に顧客からの信頼を喪失するなど、企業にとって深刻な不利益が生じる場合があります。

不正取引が行われると、決済処理業者からの罰則や消費者保護規制に基づく法的責任を問われる可能性があります。評判失墜も大きな懸念事項であり、特に顧客の囲い込みに信頼が不可欠なEコマース企業にとってはリスクの高いものとなっています。またカードの不正利用による被害を軽減したり、システムを更新したり、セキュリティ上のギャップに対処したりするためには莫大な費用が必要になることもあります。多くの企業にとって、不正利用の防止は費用削減にとどまらず、より広い範囲のデジタルエコシステムを守ることにもつながります。

カーディング防止に向けた企業の責任

すべての企業に対して言えることですが、とりわけオンライン取引を扱う企業はカーディングやその他の決済詐欺を検出し、阻止する法的・倫理的責任を負っています。

PCI DSSなどの規制的枠組みでは、顧客のカード情報を保護するための安全対策の導入を企業に義務付けています。カード会社は、加盟店に高いチャージバック率や過失に対する責任を問う場合もあります。コンプライアンス遵守のみならず積極的な不正防止対策を講じることも、ブランドの信頼性や顧客との関係、そして財務の安定性を維持する上で必要です。企業は不審なアクティビティの監視や、決済インフラの安全性の確保、新たな脅威への迅速な対応を行うことが求められています。これらを怠った場合、企業の評判が悪化するだけでなく、重大な罰金を科せられることもあります。

組織がカーディングを検出して阻止する方法

取引失敗の多発、普段とは異なる地域でのカードの使用、同一IPアドレスからの連続的なアクティビティ、使い捨てメールアドレスやプロキシの使用といった危険信号を見つけ出すことで、カーディングを早期検出することができます。

不正利用防止のためのツールとして、CAPTCHAや取引頻度を監視するベロシティチェック、IPアドレスのブラックリスト、ジオフェンシング、デバイスフィンガープリントなどが挙げられます。

AIを活用した詐欺対策プラットフォームはボットによる活動を検出し、取引のリスクをリアルタイムで評価します。侵害された認証情報やリークされた顧客データをダークウェブ上で監視することも重要です。以上のような対策と時宜に適った脅威インテリジェンスを組み合わせることで、企業は新たな戦術にも速やかに対応でき、重大な被害が発生する前に不正行為者をブロックすることができるようになります。

よくある質問

カーディングとは？

カーディングとは盗まれたクレジットカードやデビットカードの情報を使って不正取引を行うことです。取引の多くはカードが有効であるかを確認するために行われます。

カーディング攻撃とは？

カーディング攻撃とは有効なカードを特定するために、サイバー犯罪者が盗んだカード情報をWebサイトでテストする行為です。

カーディングは違法行為？

はい。カーディングは概ねすべての国の法律で犯罪行為とされており、罰金刑もしくは拘禁刑、またはその両方が科されます。

カーディングサイトの目的は？

カーディングサイトの目的は盗まれたカード情報やツール、ノウハウなどの取引を円滑にすることであり、サイトの多くはダークウェブ上に存在します。

企業がカーディングを阻止する方法は？

ベロシティチェックやCAPTCHA、デバイスフィンガープリントを活用することで、疑わしいトラフィックパターンや決済エラーを監視しましょう。

カーディングとSilobreaker

カーディングのスキームは急速に進化しており、これらは世界的なデータ侵害やフィッシングキャンペーン、新種のマルウェアなどさまざまなサイバー脅威と結びついている場合がほとんどです。詐欺の手口はますます巧妙化しているため、企業は金銭的損失や評判失墜につながる可能性のある行為を検知するために、膨大な量のデータをチェックする必要があります。

Silobreakerは、お客様の組織や企業が常に先手を打てるようサポートします。例えばダークウェブフォーラム、ペーストサイト、マーケットプレイス、侵害データベースを継続的に監視し、カードの不正利用の早期兆候を捕捉します。また、インテリジェンス主導型プラットフォームにより不正利用の早期検知と予防を可能にし、組織によるリスクの軽減、機微データや知的財産の保護、ブランドの信頼性や顧客ロイヤルティの維持を支援します。

Silobreakerはカーディングを行うグループが用いる戦術やトレンドツールといった、新出の脅威をめぐる情報や背景を明らかにすることで、不正対策チームがプロアクティブな行動を起こせるようお手伝いします。インテリジェンス主導のアプローチは、インシデント対応の改善、金銭的損失の抑制、そしてブランドの品位の維持につながります。