Last Updated: Marh 15 ,2019
2017年7月26日付けの米国連邦議会の連邦行政機関のWatchdogである「行政監査局(GAO)」が参加した「Combating Synthetic Identity Fraud:Forum」の概要報告が手元に届いた。
過去にさかのぼるが、GAOは2017年3月30日付けで「Identity Theft Services:Services Offer Some Benefits but Are Limited in Preventing Fraud」 (注1)と題する報告を連邦議会あてに行っている。
この犯罪類型は、犯罪者が実在(通常は盗んだ)ID情報と偽のID情報を組み合わせて新しいアイデンティティを作成する詐欺の一種である。不正に銀行口座を開設し、詐欺的な商品やサービス等を購入、不正に受給をするために使用される。この合成身元情報の詐称は、犯罪者が偽のIDに基づいてクレジットカード会社や貸し手から金銭を違法に盗むことを可能にするだけでなく、国の給付金の不正受給、テロ資金のマネローンダリング等、その適用範囲は極めて広い。したがって、GAOや連邦取引委員会(FTC)などの危機感が極めて高まっていることがその背景にある。
当時、筆者は、(1) そこで指摘された問題の大きさを十分理解できなかったこと、(2) 日本の場合、マイナンバーを利用する際には厳格な本人確認が義務付けられており、マイナンバーに加えて、運転免許やパスポート、健康保険証などで身元を確認することで、マイナンバーが漏えいした場合もなりすましを防止しうるという点等から、当面わが国での同様のリスクがあり得ないと感じたこともあり、あえて本ブログでは取り上げなかった。
しかし、マイナンバーの利用範囲が立法時に想定した範囲から次第に広がるリスクもありうる。すなわち金銭的なりすまし詐欺にあうリスク(勝手にクレジットカードが作られて引き落としされる、引き落としを止めようにも止められない、他人の借金を背負わされる)は比較的少ないものの、例えば、次のような詐欺犯罪に巻き込まれるリスクが広がる可能性は依然高い。
①知らぬ間に「会ったこともないし名前すら知らない外国人と入籍していた」、離婚しようにも相手がどこにいるのか分からないし、とにかく何が起こっているのか不気味である。
②勝手に自分名義の車が契約されていて、その車を使った犯罪が発生。勤務中に警察から呼び出しがかかり、会社を早退。弁明や後処理にも多大な時間がかかった上に、会社からの信用も失う。
③知らぬ間に住民票が移転されていて、気付いた時には、自分名義でアパートが契約されていて見知らぬ外国人が多数、そのアパートに住んでいる。家賃の未納が溜まっていて、支払う羽目に。外国人を追い出すのにも、弁護士等に依頼し、多大な金額や労力を使う。
米国(筆者注2)の場合と同様ではないが、SNS等で不用意に自分自身のマイナンバーを含む個人情報を渡したり、不審な先からの照会、通知があったときは必ず関係機関への直接確認は必須といえる。また、行政の立場から見た場合、米国で多く見られるなりすましによる社会保険、失業保険等の不正給付の問題が根強くあり、また、マネー・ローンダリングを通じて暴力団やテロ組織に資金が流れたときの被害者の責任を考えると、この問題は単に外国でのリスクという話では済まないといえる。その意味で、従来厳しく取り締まりを行ってきた「なりすまし詐欺」 (筆者注3)と一部重複するものの更なる対策強化が必要であろう。
本ブログは、まず(1)2014.10.28付け IBM securityintelligence.サイトの解説「合成による新アイデンティティ詐欺(Synthetic Identity Theft:SIT)の手法:3つの方法 」および(2)Revere Bankの「Synthetic Identity Fraudの検出と予防」を仮訳し、”Synthetic Identity Theft”(Synthetic Identity Fraudと同義)詐欺手口、被害の範囲等を正確に解説するとともに被害の重大性、この詐欺の検出のむずかしさなどを認識し、次に(3)3月30日のGAOレポートの要旨(信用モニタリング、アイデンティティのモニタリング、アイデンティティの復元および個人情報盗難保険等の効果とその限界等を紹介し、最後に(4)7月のFGAO 参加Forumの内容を概観する。 (筆者注4)
なお、GAOが使用している”Identity Theft Services”という用語はいまいち言葉足らずの感がある。その意味内容からすると、連邦取引委員会(FTC)が使用している”Identity Theft Protection Services”のほうが的確と思えるため、本ブログではFTCの用語を併記する。
今回は、2回に分けて掲載する。
1.合成的に新たな身元(アイデンティティ)を術策する詐欺(Synthetic Identity Theft:SIT)の手法:3つの手口
2014.10.28付けIBM securityintelligence.サイトの解説「Synthetic Identity Theft: Three Ways Synthetic Identities Are Created」を以下、仮訳する。
合成的なID詐欺は、架空のID情報の使用を伴う詐欺である。このID詐欺師は、実際の情報と加工された情報を組み合わせ、あるいは時にはまったく架空の情報を使って新しい身元(identity)を作り出す。この詐欺師は、この架空の身元を使って個人信用(クレジット)を取得し、預金口座を開設し、また運転免許証やパスポートを取得する。
通常、詐欺師はSIT(Synthic Identity Theft)において実際の社会保障番号(SSN)を使用し、その番号に関連付けられていない名前と組み合わせる。詐欺師は、子供や死者のような積極的に使用されていないSSNを探す。場合によっては、身元詐欺師は、偽のSSN、名前、住所で完全に偽の身元(Identity)を作成することがある。これは、盗難に関与していないため、身元識別詐欺に分類されるが、本レポートでは目的上、「合成的な個人情報の盗難」または「合成的な個人情報詐欺」を同じものとして扱う。
(1) なぜ合成的なりすましは重要な問題なのか?
この種の盗難は、米国において過去5〜7年間に大きな詐欺行為として浮上してきた。合成的な個人情報窃盗被害の規模は、北米で年間10億ドル(約1,090億円)と推定されている。カナダのメデイアCBC によると、毎月の症例数は5年前と比べて数千にものぼり、月に約100件が見られた。
SITの指数関数的伸び、特に子供の身元への影響は、将来若者にとって悲惨な結果をもたらすであろう。 Carnegie Mellon大学のCyLab Security and Privacy Instituteが実施した調査によれば、子供のSSNは、研究対象の人口の成人よりも合成詐欺の被害にあうことが51倍も高い可能性がある。 CyLabはその発見が一般の人口に外挿することはできないと明言しているが、子供に対する脅威は明らかである。
総合的なアイデンティティの盗人は、活動しておらず、一般的に2018年までチェックされていないため、子供のSSNを対象としている。 子供たちは一般に、彼らのSSNに関連する公開情報を一切持っていないので、SSNを主要なターゲットにしている。被害を受けた未成年者の両親が請求書収集者に釈放されない限り、郵便でクレジットカードの提供を受け始めるか、または子供が運転免許証や大学ローンを拒否された場合、詐欺は発見されない可能性がある。
過去10年間で増加している児童の個人情報盗難の真の影響は、犠牲になった若者が大学時代に近づいたり、大学学費等の援助を申請したり、高校時代の負の情報が会社の背景スクリーニング時に明らかになる。
(2) クレジット・ファイルの作成方法
サイバー犯罪者が自分にとって有利なようにシステムをコントロールする前に、そもそもクレジットファイルの作成方法を理解することが重要である。
信用履歴は、「信用調査機関(credit reporting agencies (CRAs))」またはいわゆる「個人信用情報機関(credit bureaus)」によって収集され、維持される。米国には、Equifax、TransUnion、Experianの3つの主要なCRAがある。これらの機関は、クレジットカード会社、銀行、住宅ローン会社およびその他の債権者からの消費者の信用履歴を収集し、詳細な信用報告書を作成する。
消費者があるタイプのクレジットカードまたはローンの申請を完了すると、すべての申請情報がCRAに送信される。CRAは、申請者の個人識別可能な情報を収集し、信用報告書が存在するかどうかを判断する。 また、倒産や差し押えからの裁判所記録などの財務情報について、公的記録を精査する。一致するものが見つからない場合、CRAはクレジットファイルを確立することによって照会の記録を保持しなければならない。 一致するものが見つかった場合、貸出しファイル情報が貸し手に返され、与信決定が行われる。
理解すべき重要な概念は、CRAに提出されたクレジット要求は、要求前には存在しないクレジットファイルが作成されることである。
毎月、貸出機関およびその他の債権者は、最新の消費者信用情報をCRAに送信する。 この情報には、個々の消費者がどれだけ借りているか、時間通りに支払いを行っているかどうかが含まれる。
この問合せには、厳格なものとソフトなものの2種類がある。厳格な照会は、クレジットカード会社、住宅ローンの貸し手、小売企業、賃貸住宅の貸主などの機関債権者からの要請である。ソフトな問い合わせは、雇用者の採用時のスクリーニングの一環として、消費者または雇用者によって行われる。 倒産、差し押え、償却などの否定的な出来事は、7〜10年間は信用調査報告書に載っていますが、オンタイムの住宅ローン支払いなどの積極的な出来事はさらに長く続くことがある。
◎ アイデンティティ詐欺師が信用プロセスを利用して合成アイデンティティーを確立し、不正行為を実行する主な方法
以下のとおり、3つある。すなわち、貸し手に直接クレジットを申請する、承認されたユーザーのほとんどのクレジットカードアカウントまたはデータ提供者スキームを使用するものである。
(1) 詐欺師による直接的な与信申請
詐欺師は、合成IDを作成し、クレジットカード発行会社などの貸し手に直接クレジットを申請してクレジットプロファイルを作成する。 最初の申請は拒否されるが、新しいクレジットファイルが作成される。
新しく設定されたクレジットファイルで、詐欺師はクレジットカード発行会社にクレジットを申請する。 カード会社がクレジット照会を実行すると、CRAは、プロファイルが存在するという情報をカード会社に返す。プロファイルには、それに関連するクレジット履歴はないが、一般的に、詐欺師は、履歴がない申請者に300〜500ドルのクレジットラインを提供するカード発行者を対象とする。
新しいクレジットアカウントで武装した詐欺師は、クレジットアカウントを正当に使用して支払いを行い、良い履歴を確立する。 詐欺師は、より多くのクレジットカード、小売店のクレジットアカウント、および自動車ローンを得るために、問題ない肯定的な信用履歴を活用する。
このプロセスは簡単で簡単に実行できまるが、確かな信頼性の高いプロファイルを作成するのに時間がかかるため、あまり好ましくない。
(2) 承認されたユーザープロセスを利用
承認されたユーザープロセスは、ほとんどの合成IDがどのように作成されるかである。 承認されたユーザーをアカウントに追加することは合法であり、クレジットカード発行者が許可する。これは通常、配偶者や子供の追加などの正当な目的で使用される。
詐欺師は、承認されたユーザープロセスを利用し、カード所有者を積極的に募集して、未知の人物/身元をカードに追加する。正当なカード所有者は、この技術を使用して、「ピギーバック(piggybacking)」 (筆者注5)と呼ばれることがある。正当なカード所有者は、承認されたユーザーIDを自分のアカウントに追加するための手数料を受け取る。 承認されたユーザーにクレジットカードは発行されない。ある期間クレジットアカウントに座り、カード所有者のクレジット履歴を「継承」する。
credit line (クレジットライン:信用与信額)がCRAに報告されると、承認されたユーザーとしてアカウントから合成アイデンティティを削除できるが、クレジット履歴は保持される。 詐欺師は複数のカード発行者にクレジットを申請する。 複数のクレジットラインを獲得することで、詐欺師はギフトカードやスマートフォンなどの貴重な商品や簡単に売れるエレクトロニクスなどの商品を購入することで、すべてのクレジットラインを最大限に活用する。
この例では、詐欺師はまた、クレジットラインが最大化され、価値のないまたは偽造品の小切手で払い戻され、その小切手の支払いがなされる前に再び融資額を最大化される「バスト・アウト・スキーム(bust-out scheme)」(筆者注5-2)を実行することができる。これにより、クレジット会社には元の与信限度の2倍のエクスポージャー(無返済リスク)が発生する。よく組織化された犯罪者は、このプロセスを複数回繰り返すのである。
承認されたユーザーを追加するために募集されたカードの所有者は、一度に50人までアカウントに登録される。 カード所有者は、他の人が信用を確立したり修復するのを助けるために、良き信用履歴を寄付していると信じているかもしれない。ドナーとクレジット・アシスタンスを必要とする多くのクレジット・リペア/ピギーバック・ブローカーがいる。不正行為に結びついたアイデンティティを継続的に生成するアカウントは、受粉者アカウント(pollinator accounts)と呼ばれる。
たとえば、合成IDには2014年6月にクレジットファイルが作成され、小売ショッピングセンターに関連付けられた住所が使用されていた。8月には、信用限度額$ 55,000の熟練した取引ラインが合成IDに追加された。承認されたユーザーを追加してから2ヶ月以内に、合成IDは140,000ドルをうまくやり、無担保のクレジットで200,000ドルを蓄えた。
• 銀行A:10,000ドル
• 銀行B:10,000ドル
• 銀行C:50,000ドル
• 銀行D:$ 5,700
• 銀行E:$ 20,000
• リテール1:16,000ドル
• リテール2:20,000ドル
この調査では、ほとんどの購入品に小売ギフトカードとハイエンド(最高級)商品が含まれていることが明らかになった。1人のCRAの調査官は、Verizon Wirelessや他の同様の業者がスマートフォン、特にiPhoneをターゲットにしていることを示した。
******************************************************************************
(筆者注1) Identith Theft Procection Servicesについては連邦取委員会(FTC)が4頁ではあるが簡潔に整理している。
(筆者注2) カナダでも大きな社会問題となっている。 2014..3.3 カナダCBC news「How 'synthetic' identity fraud costs Canada $1B a year:'Server Froze' among list of implausible fake ID names」
(筆者注3) 米国の金融機関を対象とする「なりすまし詐欺」については2008年11月に筆者のブログ「米国の金融機関等の『なりすまし詐欺犯罪』対応規制強化の最新動向」(その1)、 (その2)、 (その3完) で詳しく論じている。
(筆者注4) 全米州議会議員連盟(NCSL)は、2014時点の30州およびプエルトリコ自治連邦区のODなりすまし犯罪に関する刑事立法動向を「Identity Theft 2014 Legislation」として集約している。
(筆者注5) ピギーバッキング:正当に通行許可を得ている人が、通行許可を得ていない人を連れて、セキュリティーシステムによって通行制限がかけられているドアやゲートを一緒に通り抜けること。
(筆者注5-2)”bust-out scheme”につき、2011.4.6 FBI Okrahoma City Divisinのリリースをもとに具体例で説明する。
被告コルサイード・ガイル( Khawer Saeed Ghill:別称 Ghill)とアッサン・ウーラ(Ahsan Ullah :別称“Ibrahim Khan”および“Shawn Ullah”)は、2003年3月から2007年4月の間に、ローンの返済する意図を持たずに不正にローンを取得することを狙って、金融機関や商業ビジネスに対する詐欺を企てた。さらに、両被告は、銀行、信用組合、クレジットカード会社、小売店を含む様々なクレジットカード発行会社から、銀行やクレジットカード会社、および小売店へ返済を意図しないままでクレジットカードの「意図的債務破たん(bust-out)」活動を通じてクレジットカードのキャッシング目的で金銭や財産を得たとされている。このbust-outの犯行手口の過程で、50を超える別々のクレジットカードが発行され、クレジットカード発行者と銀行は合計で約50万ドル(約5550万円)の損失を被ったと言われている。
この手口では、GhillとAhsan Ullahは、「銀行詐欺(bank fraud)」(筆者注5-3)およびマネーロンダリングを行うための陰謀を図ったとされた。 有罪判決を受けた場合、これら2人の男性はそれぞれ最高30年の拘禁刑および100万ドル(1億1,100万円)の罰金に直面することになる。
なお、bust -out fraudからいかに金融機関が被害を受けないかにつき、Experian Decision Analyticsの白書「バストアウト詐欺:何を狙うべきかを知っていれば、金融機関は収益を守ることができるか(Bust-out Fraud:Knowing what to kool for can safegurd the bottom line)」が詳しく、かつ専門的に解説している。
(筆者注5-3)わが国で”bank fraud”につき定まった訳語さえない。「銀行詐欺」では銀行が犯罪者になってしまう。そこで簡潔な解説サイトを引用、仮訳する。
銀行等金融機関向け詐欺(いわゆるbank Fraud)は米国の連邦ホワイトカラー犯罪であり、虚偽または詐欺的なふりをして金銭、資産、クレジットまたは証券を金融機関から詐欺または詐欺しようとするものである。また 詐欺的なローン文書の作成、クレジットカードの発行申請および資金不足小切手(writing bad check)の作成も、他の刑法とともの長期にわたる銀行詐欺犯罪者として訴求される可能性がある。
同詐欺により保護される金融機関は、米国内で認可され、かつFDIC、National Credit Union Association、および連邦政府により支援されている住宅ローン会社による保証を受けているものである。
Bank Fraudの処罰に関連する法律は、合衆国法典第18 USC 1344 条に概説されている。これは、金銭、証券または財産の金融機関に対する詐欺行為を特に禁止しており、複数の預金口座を巧みに利用して、実際以上に資金が多くあるように見せ掛ける「チェック・キッティング(check kiting)」の場合にも適用されることを意図している。
******************************************************************
Copyright © 2006-2017 芦田勝(Masaru Ashida).All rights reserved. You may display or print the content for your use only.You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.