金融サービスの口座申し込みがオンラインで完結する米国で、新しい詐欺が横行している。流出した個人情報を使って架空の身元(アイデンティティ)を作って口座を開設し、借金を返さずに行方をくらます「合成アイデンティティ詐欺」だ。米国では四半期だけで300億円以上の被害が発生している。

 合成アイデンティティ詐欺の合成(シンセティック)とは、「合成音声」や「合成ダイヤモンド」などと同じ「人間が作り出した」という意味だ。様々な企業が流出させた個人情報を合成して、新たな身元を作り出し、クレジットカード口座などを開設する。漏洩した本物の社会保障番号(SSN、ソーシャル・セキュリティ・ナンバー)に、偽物の名前と住所を組み合わせて申し込みするケースが多い。

 合成アイデンティティ詐欺は、米国のクレジットカード会社が利便性向上のためにオンラインだけで口座開設をできるよう、身分確認を簡略化したことを逆手にとった手法だ。米サンフランシスコで2018年4月に開催されたオンライン融資サービスのカンファレンス「LendIt Fintech USA 2018」でもセッションを設けて議論されたこの新しいなりすまし詐欺の手法を、詳しく見ていこう。

写真●「LendIt Fintech USA 2018」でのセッションの様子
[画像のクリックで拡大表示]

ナレッジベース認証の有効性が下がったのが原因

 合成アイデンティティ詐欺が米国で横行しているのは、米国のクレジットカード会社が申込時の本人確認に「ナレッジベース認証」という手法を採用しているためだ。

 ナレッジベース認証ではまず、サービスを申し込んだ利用者に氏名や住所、生年月日、SSNなど「本人しか知り得ない情報」を登録してもらう。カード会社はこれらの情報を信用情報会社に送信し、内容が正しいかどうかをチェックする。内容が正しいと確認できれば、申し込みをした人が本人だと判断する。こうした手続きは全てオンラインで完結する。

 ナレッジベース認証は米国では一般的な本人確認手法だが、近年、その有効性が急激に下がっている。例えば、FacebookやLinkedInのようなSNS(ソーシャル・ネットワーキング・サービス)が普及することによって、住所や生年月日といった情報を第三者が入手しやすくなった。さらに大規模な個人情報漏洩事件が相次ぐことで、本人確認に使われる個人情報がブラックマーケットで流通するようになった。

 ナレッジベース認証にとどめを刺したのが、2017年9月に発覚した米エクイファクス(Equifax)による「史上最悪」とも言われる情報漏洩事件だ。エクイファクスは信用情報機関大手でありながら、米国民の4割に相当する1億4300万人分の個人情報を漏洩させた。漏洩した情報は、氏名や住所、SSNなど、身元確認に使われてきた情報そのものだ。

架空のクレジットカード加盟店で、架空の使用履歴

 合成アイデンティティ詐欺の犯人は、こうした個人情報をつなぎ合わせて架空の身元を作り、クレジットカードを作る。そして架空の身元でクレジットカードを作ったら、しばらくは正常な買い物をして使用履歴(クレジットヒストリー)を作り、クレジットカード会社からの信用を貯める。クレジットカードの使用枠が大きくなったら、高額の買い物をして行方をくらます。

 架空のクレジットカード加盟店を作って架空の買い物をすることで、カードの使用履歴を作る手もある。今は決済サービスの米スクエアが29ドルで販売するクレジットカード読み取り機を購入すれば、誰でもすぐにクレジットカード加盟店になれる。架空の加盟店で支払ったお金は、最終的に自分の手元に戻ってくる。クレジットカード手数料だけで、ニセの信用履歴を作れるわけだ。

 従来のクレジットカード詐欺といえば、他人のクレジットカード番号を不正に入手して買い物をすることだった。本人とは全く異なる買い物パターンが現れるため、不正利用を検出することは可能だった。しかし合成アイデンティティ詐欺では、架空の身元を使ってクレジットカードを作り“正規の手段”で買い物が行われる。従来の不正検出技術では、合成アイデンティティ詐欺を防ぐのは難しい。

この先は有料会員の登録が必要です。有料会員(月額プラン)は初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら