脅威インテリジェンス

Gemini

Intelligence

PCI DSS

クレジットカード情報流出、2021年の発生状況まとめ　手口、ダークウェブの動き、今後の展望などを詳しく解説

Tamura

2022.03.24

クレジットカード情報流出、2021年の発生状況まとめ

ダークウェブに流通する漏洩クレジットカード情報の監視プラットフォームを提供するGemini Advisory社が、2021年のカード情報流出をめぐる状況をまとめたレポートを公表しました。

これによると、「店舗からの漏洩が減り、Eコマースサイトやフィッシングによる漏洩が増える」という、2020年までの傾向は2021年も続いたとのことです。

また、流出に使われる手口も進化しており、

✔️ 検出回避のための新しい手法（例：Google Tag Managerを使った攻撃）

✔️ 技術レベルの高い攻撃者による「スキマー・アズ・ア・サービス」の普及

✔️ 盗難カードの有効性をチェックする手口の巧妙化

✔️ 多数の加盟店が利用するサードパーティー・プラットフォームへの攻撃による大量流出

が指摘されています。

以下、レポートの全文翻訳を掲載いたします。

Gemini Advisoryについて
2017年創業の米国企業。創業者は、FBIの外部コンサルタントを経て、金融系サイバー犯罪の調査・分析で13年の経験を持つ。
ディープ・アンド・ダークウェブのマーケットプレイスにおいて流通している漏洩クレジットカードの85%を、リアルタイムでモニタリングするプラットフォーム「reGemini」を提供する。
日本では、マキナレコードが「reGemini」の販売を手掛け、国内クレジットカード発行企業での豊富なサポート実績を持つ。

*以下、Gemini Advisory社のブログ記事（2022年1月26日付）をマキナレコードが翻訳したものです。

[開く][閉じる]

概要

背景

詳細分析

　Magecart （Eコマースサイトへの攻撃）

　CPの流出

2021年のカード情報流出をめぐる状況　Eコマースサイト狙う「Magecart」が進化 | Gemini年次レポート

概要

⚫︎2021年、支払い機能付きカード（以下、ペイメントカード）のアンダーグラウンド・エコノミーでは、新たな戦術が新しい攻撃ベクトルを利用可能にしたため、一部の不正の枠組み（例えば、Google Tag Manager ｟GTM｠やWebSocketを利用した攻撃、「スキマー・アズ・ア・サービス」モデル、そしてカードチェッカーのイノベーション）が一層目立つようになりました。

⚫︎ダークウェブで売りに出されるCPレコード[*訳注1]の量の減少が続く一方で、新型コロナに伴うCPからCNP[*2]への移行がさらに進んでいます。

⚫︎サイバー犯罪者らは、多数の加盟店にサービスを提供する注文プラットフォームを狙い、単一の攻撃で複数の加盟店に損害を与えることの有効性を証明しました。

⚫︎Gemini Advisoryは、

・CNPへの移行はおそらく定着した（ただし、ポストコロナの状況下では以前ほど極端ではないかもしれない）
・Magecart攻撃（=Eコマースサイトへの攻撃） [*3] はおそらく、今後もしばらく支配的であり続ける

と、高い確度で評価します。

訳注
*1 CP（Card Present）とは、売り場のデバイスから流出したカード情報のこと。CPレコードは、そうした情報からなるレコード（=データベースの構成単位としてのデータ）。

*2 CNP（Card Not Present）とは、Eコマースサイトでのデジタルスキミング（=Magecart）やフィッシングによって流出したカード情報。CNPレコードは、そうした情報からなるレコード。

*3 Magecartとは、Eコマースサイトを不正なスクリプトに感染させてカード情報を盗むサイバー犯罪グループの総称。本文中の「Magecart攻撃」は、「不正なスクリプトを使ってEコマースサイトを攻撃すること」とほぼ同義。

背景

Gemini Advisoryによる2021年のカード不正の脅威をめぐる情勢をまとめた図ペイメントカード情報のアンダーグラウンド・エコノミーは、引き続きコロナ禍をうまく切り抜けており、2021年には2020年と同じ傾向を示しました。しかし、新たな戦術が、新しい攻撃ベクトルを利用可能にしたため、一部の不正の枠組みが一層目立つようになりました。Gemini Advisoryのダークウェブ・インテリジェンスからは、2021年のカード不正の脅威をめぐる情勢において、最も特筆すべきトレンドが分かります。

ダークウェブ上で販売されるCPレコードの量は減り続けており、新型コロナが拍車をかけたCPカードからCNPレコードへの流れが加速しています。2020年には7,000万件を超えるCPカードが販売されていましたが、2021年には3,600万件のみとなっています。これに対し、2020年に販売されたCNPレコードは4,000万件でしたが、2021年には6,000万件となっており、比較的安定しています。米国は引き続き、ペイメントカード情報の不正流出源の圧倒的多数を占めていました。

ダークウェブにおいてCNPカード関連の不正の比率が増大する中、Magecart攻撃の量は高い水準を維持しています。Magecart攻撃も主に米国を標的としていますが、使用している戦術は、Telegramボット、WebSocket接続を介してペイメントカードスキマーのスクリプトや盗まれたデータを送信するスクリプト、Google Tag Manager （GTM）コンテナを悪用して有害スクリプトを隠すスクリプトなどであり、ますます巧妙化しています。悪意のアクターは特に、大企業よりもセキュリティリソースに欠けることの多い中小企業を標的にしました。また、サードパーティーの支払い処理システムに対する攻撃は、1回の攻撃で多くの企業のトランザクションからカード情報を取得できる絶好の機会をアクターに提供しました。もう一つの新たなトレンドとしては、「スキマー・アズ・ア・サービス」モデルが挙げられます。これは、カードスキミングやデータ販売を分業することで参入障壁を低くし、サイバー犯罪者が脆弱なEコマースサイトの特定と悪用に集中できるようにするものです。

関連記事
ダークウェブとは？何が行われている？仕組みから最新動向まで

詳細分析

Magecart

Magecart攻撃の人気は、ダークウェブのサイバー犯罪者コミュニティ内でますます高まっています。この攻撃では、ハッカーはEコマースサイトの精算用ページから顧客のカードデータをスキミングしたのち、データを攻撃者のインフラに抽出し、ダークウェブ上でペイメントカード情報を販売することが可能です。新型コロナによるパンデミック中は、オンラインでのトランザクションがより一層顕著になったため、Magecart攻撃の収益性が高まりました。

Geminiは、2021年に悪意のあるペイロードをホストしていた、または盗まれたペイメントカード情報を受け取っていた固有の攻撃者ドメインを1,132件以上発見しました。さらに、アナリストは固有の攻撃者スクリプトを大量に発見しています。このことは、攻撃に非常に多くのタイプが存在することを示しており、攻撃の特定を困難にしています。固有の攻撃者ドメインが昨年の水準と比較して約2倍に増える中、固有の攻撃者スクリプトは20倍に増加しています。攻撃の収益性が増すだけでなく、サイバー犯罪者のインフラも成長しているのです。

2021年、ハッカーが最も頻繁にMagecart攻撃の拠点とした国は米国で、後続のロシア、ドイツに大差をつけました。これは、ロシアがリードし、米国が僅差で後を追い、ドイツが大きく離れる形だった2020年と比較して急激な変化となっています。このことは、Amazon Web Services、Microsoft Azure、およびGoogle Cloud Servicesといったメガインターネットサービス、およびクラウドホスティングプロバイダへのシフトを反映しています。不正行為者は、これらのプロバイダーを悪用し、悪意のあるペイロードを米国でホスティングすることで、自身の犯罪計画が合法的に見えるようにしています。

2021年に発生したMagecart感染のうち、

・82％は単独感染であったのに対し、18%は複数感染の兆候を示していました。

・複数感染したサイトのうち27%が、最初の感染を除去した後に再度感染していることから、アクセス手段が修復されずに放置されていた可能性が高いことが分かります。

・複数感染をしたサイトのうち73%では、感染ウィンドウの重複が発生しており、その中には元のアクターが新しいインフラに移行した結果である場合もありました。

・感染の平均日数は171日間でした。

最もMagecart攻撃の標的となったEコマースプラットフォームは、依然としてMagentoでした。Magecart攻撃の名称がもともとMagentoから採ったものであることを考えると、これは過去の傾向と一致しています。その次に多く標的となったプラットフォームはOpenCartで、次いでWooCommerceでした。これらのプラットフォームは通常、Eコマースに携わる加盟店が購入・管理するサーバーによってホストされているため、プラットフォームのセキュリティパッチのインストールが遅れ、既知の脆弱性が悪意のアクターによって悪用可能なまま放置されるという事態が多発します。

広く利用され、非常に効果的な技法の1つは、トロイの木馬化したGTM（Google Tag Manager）コンテナを使ってサイトを感染させるというものでした。多くのセキュリティスキャナが「信頼された」ドメインの要素を見落とすため、攻撃者らはEコマーススキマーのスクリプトをGTMコンテナに配置し、正当なサービスを悪用できるようにしていました。Geminiは、ペイメントカード情報を88,000件以上入手してダークウェブで販売するためにハッカーらが使用した、MagecartのGTMによる技法を2種類発見しました。どちらの技法も効果的で、自動スキャナやセキュリティ研究者を回避する傾向があり、ハッカーに被害者のEコマースサイトで永続性を確立し維持する能力を与えています。

Magecart攻撃の危険性を高めるものとして、ダークウェブのコミュニティで一般的になってきた「スキマー・アズ・ア・サービス」モデルが挙げられます。これは「ランサムウェア・アズ・ア・サービス（RaaS）」と似たようなもので、技術レベルの低いサイバー犯罪者が熟練のハッカーを雇い、悪意のあるスクリプトを作成させたり、自ら侵害したサイトにカードスキマーを埋め込ませたり、さらには攻撃の実行まで肩代わりさせたりするものです。これは、各個人が特定のタスクにエネルギーを集中させ、互いに協力し合うことで、強固な防御に対して最も効果的な攻撃を仕掛けるという、サイバー犯罪の専門化と商業化が進んでいることの現れです。RaaSモデルは、攻撃を非常に多く発生させ、ランサムウェア攻撃の急増と相関関係にあることが証明されましたが、「スキマー・アズ・ア・サービス」モデルもこの先例にならう可能性があります。

供給と需要

2021年、ダークウェブマーケットプレイスにおける流出CPレコードの年間供給量は49%減の3,600万件となり、2018年に前年比50%増、2019年に前年比25%増を記録したのとは対照的に2年連続の減少となりました（2020年は10%減の7,000万件）。また、CPレコードの需要も再び約50%激減しました。オンラインショッピングが今も主要な購買手段である中、長引く新型コロナによるパンデミックとロックダウン規制により、CPレコードの手に入れやすさと需要の両方が下がり続けました。

2017年から、ダークウェブマーケットプレイスにおける流出CNPレコードの年間供給量は少しずつ増加を続けており、2021年には6,000万枚が流出し、2020年の4,000万枚から50％増加する結果となりました。2021年のCNPレコードの需要は16%増加しました。データから、新型コロナによるパンデミックによって継続してCPレコードの需要が低下していることがはっきりと読み取れますが、現在進行中のパンデミックとCNPレコードの需要の間の強い関係は見受けられません。

米国は4年連続で、流出したペイメントカード情報の最大の発行国になりました。ダークウェブに追加された流出CPカードの90%、流出CNPカードの59%が米国のカード発行業者によって発行されたものでした。流出CPカードの割合が一貫して高いのは、米国では他の先進国と比べてEMV対応のPOS機器の導入が遅れており、磁気ストライプによる取引が引き続き主流となっているためです。これらの攻撃は小規模事業者を標的とし続けており、これらの加盟店は多くの場合、システムのセキュリティ確保に割くことのできるリソースが限られているため、より長期間にわたって感染し続ける可能性が高くなります。3年連続で、流出CPカードの発行枚数が2番目に多かったのは韓国です。韓国はCP流出の標的となる国の1つですが、流出カードの大半が単一のインシデントによるもので、流出件数がそもそも多いことによるものではないことに留意することが重要であり、これは過去数年も同様でした。流出CNPカードの発行元で2番目に多かったのは、前年と異なりオーストラリアでした。

**流出元の店舗[*4]の概観および主な流出**

GeminiがWeb上でMagecart感染を調べるのと同時に、アナリストはダークウェブで販売される盗難ペイメントカード情報に関連する攻撃についても調査しています。2021年、Geminiはこの方法で48の州と10の国や地域にある1,590の加盟店に対する新たな攻撃を特定しました。アナリストは、データポイントの大部分を占める米国の位置をマッピングし、どの地域、州、都市が最も影響を受けたかを示しました。青い点はCPの流出を指し、攻撃された加盟店の位置を示しています。オレンジの点はCNPの流出を指し、攻撃されたWebサイトを運営する企業の本社の位置を示しています。

訳注
*4 原文では「CPP」。CPPとは、Compromised Point of Purchaseを略したGeminiの用語で、「あるレコードが取得され、被害を受けた売り場」、すなわち「カード情報が流出した売り場」のこと。

画像1：影響を受けたCPPの位置は、米国の本土全体に広がっており、特に沿岸部の都市部に集中しています。青い点はCPの位置を示しており、オレンジの点はCNPの位置を示しています。

以下、2021年の最も注目に値する流出の一部です。

1月

Geminiは、オンライン注文プラットフォームEasy Orderingを使う30の加盟店から流出した56,000件を超えるレコードを確認しました。Easy Orderingを所有するのは、シカゴを拠点とするレストラン関連テクノロジー企業のMcPOSです。影響を受けたレストランは、それぞれのWebサイトでEasyOrderingのURLを使用しています。

4月、5月

アラバマ州エンタープライズ、フロリダ州ペンサコラにあるPoFolksの支店2店舗から、18,000件を超えるレコードがダークウェブ上に投稿されました。PoFolksはフロリダ州に6店舗、アラバマ州エンタープライズに1店舗を構えるアメリカ式家庭料理レストランの小規模チェーンです。

5月

メーン州レンジリーの村落Oquossocの中心部にある総合食品雑貨マーケットOquossoc Groceryから約2万件の流出レコードが盗まれました。アナリストは、レコードの過半数がEMVチップ搭載カードのトランザクション中に流出したと結論づけ、より高性能のマルウェアが加盟店のシステムにインストールされている可能性があると指摘しました。

6月

モンタナ州のBillings、Butte、Great Falls、Kalispell、Missoulaに店舗を構えるアメリカ式ステーキハウスレストランThe Montana Clubのレコードがダークウェブに流出しました。この加盟店での流出は2020年3月から発生しており、現在、複数の流出によって流出したレコード10万件超がダークウェブ上に投稿されています。

7月

支払処理・顧客予約処理システムとしてPetExecを使用する268を超える加盟店からの流出レコード11万件超を、サイバー犯罪者らがダークウェブ上に投稿しました。PetExecは支払い処理など、さまざまなサービスをペットケア企業に提供するクラウドベースのシステムであり、流出は2021年7月1日〜30日の間に発生していました。

8月

テキサス州に3つの映画館を持ち、Schulman Theatersを親会社とする映画館チェーンFilm Alleyからの流出レコード13,000件を、サイバー犯罪者らがダークウェブ上に投稿しました。投稿されたレコードは、テキサス州WeatherfordにあるFilm Alleyの特定拠点からの流出があったことを示していました。

8月

ニューヨーク州のアッパーイーストサイドにあるワインバーEli’s Essentials（Eli Zabarの系列店）から流出したレコード8千件超がダークウェブ上に投稿されました。Geminiは、ケータリング事業を行うEli Zabar’s E.A.T.で2020年7月30日から同年10月15日の間に流出したレコードのセット2件について報告しました。攻撃に関与した悪意のあるアクターらは、おそらくEli Zabarの企業ネットワーク内で感染を広げ、複数のPOSシステムにスキマーをインストールしたと考えられます。

11月

Geminiは、Running Warehouse、Tennis Warehouse、Tackle Warehouseと関連づけられた流出レコード438,000件超がダークウェブに投稿されているのを確認しました。上記3つの加盟店は、カリフォルニア州San Luis Obispoとジョージア州Alpharettaに本部を1つずつ置くSports Warehouseに所属しています。

ダークウェブにおける変化

ペイメントカード情報のアンダーグラウンド・エコノミーにおいて最大のダークウェブ・マーケットプレイスJoker’s Stashは、2021年1月15日の投稿で閉鎖を発表しました。同サイトの管理者「JokerStash」は、同ショップは2021年2月15日まで稼働を続け、自らはその後「相応の隠居生活に入る」と主張しました。

Joker’s Stashは、観測されたダークウェブ・マーケットプレイスの中でも最古参で、2014年から稼働していました。2020年には、4千万件を超える新たなレコードを追加し、その過半数はCPでした。CPデータは大規模流出に関連するもので、大量のCNPデータはMagecart攻撃に関連するものでしたが、アナリストはフィッシング攻撃を通じて入手されたデータも観測しました。Geminiの計算では、Joker’s Stashは最後の数年間に10億米ドルを超える収益を上げました。同マーケットプレイスがオフラインとなった後、マーケットプレイスのベンダーとバイヤーは不法な商行為を続けるため、他の一流ダークウェブショップに移動しました。別のダークウェブ・マーケットプレイス「AllWorld」は、Joker’s Stashの後継者としての地位を得ようとしています。AllWorldは2021年5月に初めて姿を表し、流出したペイメントカード情報100万件を無償で投稿して悪名を轟かせました。Joker’s Stashは無償でカード情報を投稿することはなかったものの投稿数の多さで知られていたため、上記は後継者としての地位を得るためのAllWorldによる戦略の一部と推察されます。

CPの流出

Geminiが報告し、詳細に分析したCPの流出462件から、アナリストは、流出CPの流出期間が平均132日間であり、2021年の流出CPの過半数が依然としてレストランとバー（MCC: 5812-5814）から流出しているとの結論に至りました。これらの店舗は、スワイプ・トランザクション（EMVチップ対応のトランザクションより安全性が低い支払い手段）のみを受け付ける旧式のPOSシステムを使い続けているため、過去数年間にわたりCP流出の主な標的となってきました。また、レストランとバーは、ポケットスキマー（悪意のあるウェイター/ウェイトレスが、カードから目が離れた隙に磁気ストライプデータをこっそり収集する目的で使うツール）の被害を受けやすいです。

またGeminiは、共通の支払い処理システムをすべてのトランザクションに対して使う加盟店から成るグループを、サイバー犯罪者らが狙っているのを確認しています。たとえばアナリストは、48の異なるCP流出（そのほとんどがタイのレストラン）において、本記事執筆時点ですでにサービス終了している支払い処理システムが使用されていたことを発見しました。これにより、サイバー犯罪者らは単一の攻撃によって複数の加盟店に打撃を与えるというアドバンテージを手にします。

画像2：POSシステムから流出したCPレコードの圧倒的多数がEMV対応

CNPの流出

Geminiは、2021年に発生したCNPの流出1,145件について詳細な分析と報告を行った結果、脅威アクターらが確立された手法（Magecartベースの攻撃）に頼るだけでなく、巧妙化するフィッシング攻撃にも頼っていることを確認しました。CNPベースの流出で標的となった米国の被害者のEコマースサイトは、平均188日間感染したままとなっていた一方、米国外の被害者のサイトは平均171日間感染していました。Eコマースサービスを提供するオンラインの小売業者と加盟店は引き続き標的にされています。2021年には衣類業界、家具業界、産業/自動車用部品業界が標的になりました。

またサイバー犯罪者らは、新型コロナによって屋内での会食に影響が出ているためにネット注文を提供しているレストランのWebサイトを狙い続けています。この影響を特に受けているのは、複数の加盟店向けのサードパーティー支払いポータルです。こうしたポータルを攻撃すれば、1か所への攻撃によって多数の参加企業の情報を盗むことができます。Geminiは小規模レストランにサービスを提供する4つのネット注文プラットフォームへの攻撃で、顧客のペイメントカード情報が計343,000件流出したことに注目しています。

カードチェッカー

盗まれたペイメントカード情報をダークウェブで購入することは、多くの場合、不正行為者が不法な購入を行うための努力のほんの第一歩に過ぎません。発行する金融機関がすでに盗難カードだと注意喚起しているカードを、不正行為者が購入してしまうケースもあり、この場合、不正行為者はそのカードを使って不法な購入を行えなくなります。このため、ダークウェブのマーケットプレイスや個々の不正行為者は多くの場合「カードチェッカー」を利用します。カードチェッカーとは、カードが不正行為に使えるか、それとも盗難カードとして注意喚起済みかを不正行為者がチェックできるダークウェブ上のサービスです。

不正行為者は、専門のチェッカーサイト、もしくはAPI経由でチェッカーサービスを提供するダークウェブ・マーケットプレイスを通じて、カードチェッカーにアクセスします。チェッカーの利用にあたっては、不正行為者は流出したペイメントカード情報を入力するだけでよく、残りの工程はチェッカーが自動で行います。カードチェッカーは、少額のCNPトランザクション（通常0.01ドル〜1.00ドルの間）を行うか、カードをEコマースまたはソーシャルメディアサイトのアカウントと紐付けることでカードの有効性を検証し、いわゆる「1円オーソリ」を行います。チェッカーは通常、数秒間でチェックを終え、不正行為者にカードが有効（カード承諾）か無効（カード拒否）かを通知します。

Geminiは、チェッカーサービスの運営のあり方をめぐる2021年の傾向を複数観察しています。Geminiは2021年9月、サイバー犯罪者が盗難カードの有効性を検証するために寄付金を受け付ける非営利組織を利用する、という手法について報告しました。寄付サイトはカードテストの監視を図る金融機関にとって厄介な存在であるため、サイバー犯罪者にとって特に魅力的となっています。寄付サイトは、カードテストをさりげなく成功させてしまう[*5]ため、おそらくダークウェブのカード犯罪コミュニティーにおいて今後も人気であり続けるでしょう。

訳注

*5 詳しくは、Gemini Advisoryの以下の記事を参照。
Cybercriminals Abuse Donation Sites for Card Testing（2021年9月23日付け）
https://geminiadvisory.io/donation-sites-abuse/
これによると寄付サイトでは、

・金額と加盟店タイプの情報が実際の寄付における情報と似ていることが多く、監視する金融機関でも不正な寄付を見分けるのは難しい

・トランザクションに最低限必要な請求情報しか要求しない場合が多い
とのこと。

また、ある最重要カードチェックサービスは、盗難カードのチェックに利用する加盟店のタイプを不正行為者が選べる機能まで追加しています。Geminiがさまざまなチェッカーサービスについて収集したデータによると、チェッカーが2021年に利用した加盟店カテゴリコード（MCC）の上位5つは以下の通りでした。

加盟店カテゴリコード（MCC）	説明
599	雑貨・専門小売店
8011	その他の医療機関
5074	配管・暖房関連設備および用品
7299	寄付/私的用途
5941	スポーツ用品店

またGeminiは、使用する加盟店を頻繁に変更するチェッカーが存在する一方で、同一の加盟店を比較的長い期間使用したのちに別のものへと変更するチェッカーもあることを確認しました。このような複雑さのため、金融機関がこうした動きを検知することがより難しくなっています。

新たなトレンド

セキュリティプロトコルの3Dセキュア（3DS）により、クレジットカードやデビットカードのオンラインでのトランザクションにおけるセキュリティは強化され、支払いの認証をパスワードや確認用テキストメッセージのみではなく、指紋認識または顔認識によっても行えるようになります。3DSは全体的に見て有効ではあるものの、Geminiは3DSの回避に関するダークウェブフォーラムでの議論を観測しています。ダークウェブでは、さまざまなソーシャルエンジニアリングの手法、フィッシングページ、詐欺ページといった戦術について議論されています。これらには、流出した個人情報（PII）の利用や銀行関係者へのなりすまし（偽装された電話番号がよく使われる）によって標的を騙してパスワードを流出させることなどが挙げられます。しかし、これらの技巧や、マルウェアを使った攻撃は、3DSのバージョン2.0では効果が弱まります。

EUが3DSを義務付けたことで、世界中で導入されるようになりましたが、レベルは各地で異なります。3DSの導入がさらに広まれば、たとえ手頃なツールや努力、スキルセットによって回避される可能性があるとしても、オンライン・トランザクションのセキュリティは向上するでしょう。3DSは現行のオンライン・トランザクションの多くにおいてセキュリティを強化しますが、導入する側は、高いレベルのソーシャルエンジニアリング行為を実行する能力のある、意思の固い攻撃者について警戒を怠ってはなりません。

また、Geminiは2021年にフィッシング攻撃の新たなトレンドを観測しました。これに先立つ2020年には、フィッシングに言及するダークウェブフォーラムの投稿が72%増加するなどフィッシングの量が増加していました。フィッシングへの言及の増加という傾向は2021年も続いています。サイバー犯罪者らは現在、中小規模の銀行の顧客を狙ったフィッシングページを設計しています。こうした戦術はかつて、大手金融機関を狙う戦術よりも儲からないと考えられていました。しかし、中小規模の銀行はサイバーセキュリティに充てるリソースが大手より不足していることが少なくありません。このモデルは「フィッシング・アズ・ア・サービス（PhaaS）」との相性が非常に良好です。PhaaSでは、熟練したサイバー犯罪者がフィッシングページを設計して技能が乏しい犯罪アクターへと販売し、ページを購入したアクターが自ら活動を行います。

また、巧妙な不正行為者は、通常の不正行為には使えないような流出したペイメントカード情報や銀行ログインデータも購入します。たとえば、カードの場合はすでに有効期限切れとなっている場合があり、流出した銀行のログインデータ（ユーザーのログイン認証情報、cookie、PIIなどが入ったファイル）の場合はユーザーがパスワードを変更すると使えなくなります。それでも、通常これらには被害者のメールアドレスや電話番号が含まれており、熟練したフィッシング犯はこうした情報を利用し、銀行からの本物のメッセージをもっともらしく模倣することができるのです。この能力があれば、不完全なPIIも役に立ちます。標的をある程度絞ったフィッシングや、スピアフィッシングを行う不正行為者は増えており、こうした行為が成功すればPhaaSモデルへの信頼はさらに高まります。

結論

2021年の状況をまとめるなら、それは2020年の猛烈な変化の延長だったと言えます。CP関連の不正からCNP関連の不正への移行は、新型コロナパンデミックが2年目に突入しても続いています。米国は依然として最も多く標的にされ、Magecartは発展を継続、そしてCNPにおける新たなイノベーションは、脅威をめぐる情勢のなかで一際目立ちました。GTMやWebSocketsを利用した攻撃といったMagecartの特に高度な戦術はその有効性が証明され、スキマー・アズ・ア・サービスは今も成功が見込まれています。Gemini Advisoryは、

・CNPへの移行はおそらく定着した（ただし、ポストコロナの状況下では以前ほど極端ではないかもしれない）

・Magecart攻撃は、おそらく今後もしばらく支配的であり続ける

と、高い確度で評価します。

Gemini Advisoryの使命

Gemini Advisory（Recorded Future系列企業）は、絶えず増大するサイバーリスクの軽減を目指し、実用的な対不正インテリジェンスを最大手の金融組織に提供します。弊社が商標を持つソフトウェアは、不正行為者やサイバー犯罪者に狙われる情報資産の迅速な特定・保護を支援するため、非対称的ソリューションを使用します。