(2) 承認されたユーザープロセスを利用
承認されたユーザープロセスは、ほとんどの合成IDがどのように作成されるかである。 承認されたユーザーをアカウントに追加することは合法であり、クレジットカード発行者が許可する。これは通常、配偶者や子供の追加などの正当な目的で使用される。
詐欺師は、承認されたユーザープロセスを利用し、カード所有者を積極的に募集して、未知の人物/身元をカードに追加する。正当なカード所有者は、この技術を使用して、「ピギーバック(piggybacking)」 (筆者注5)と呼ばれることがある。正当なカード所有者は、承認されたユーザーIDを自分のアカウントに追加するための手数料を受け取る。 承認されたユーザーにクレジットカードは発行されない。ある期間クレジットアカウントに座り、カード所有者のクレジット履歴を「継承」する。
credit line (トレード・ライン)がCRAに報告されると、承認されたユーザーとしてアカウントから合成アイデンティティを削除できるが、クレジット履歴は保持される。 詐欺師は複数のカード発行者にクレジットを申請する。 複数のクレジットラインを獲得することで、詐欺師はギフトカードやスマートフォンなどの貴重な商品や簡単に売れるエレクトロニクスなどの商品を購入することで、すべてのクレジットラインを最大限に活用する。
この例では、詐欺師はまた、クレジットラインが最大化され、価値のないまたは偽造品の小切手で払い戻され、小切手の支払いが返される前に再び最大化されるバスト・アウト・スキーム (筆者注5-2)を実行することができる。これにより、元の与信限度の2倍のエクスポージャーが発生する。よく組織された犯罪者は、このプロセスを複数回繰り返すことができる。
承認されたユーザーを追加するために募集されたカードの所有者は、一度に50人までアカウントに登録される。 カード所有者は、他の人が信用を確立したり修復するのを助けるために、良き信用履歴を寄付していると信じているかもしれない。ドナーとクレジット・アシスタンスを必要とする多くのクレジット・リペア/ピギーバック・ブローカーがある。 不正行為に結びついたアイデンティティを継続的に生成するアカウントは、受粉者アカウント(pollinator accounts)と呼ばれる。
たとえば、合成IDには2014年6月にクレジットファイルが作成され、小売ショッピングセンターに関連付けられた住所が使用されていた。8月には、信用限度額$ 55,000の熟練した取引ラインが合成IDに追加された。承認されたユーザーを追加してから2ヶ月以内に、合成IDは140,000ドルをうまくやり、無担保のクレジットで200,000ドルを蓄えた。
• 銀行A:10,000ドル
• 銀行B:10,000ドル
• 銀行C:50,000ドル
• 銀行D:$ 5,700
• 銀行E:$ 20,000
• リテール1:16,000ドル
• リテール2:20,000ドル
この調査では、ほとんどの購入品に小売ギフトカードとハイエンド(最高級)商品が含まれていることが明らかになった。1人のCRAの調査官は、Verizon Wirelessや他の同様の業者がスマートフォン、特にiPhoneをターゲットにしていることを示した。
(3) データ提供スキームの利用
データ提供は非常に効果的な戦術であるが、より洗練された組織化が必要であり、中小企業では謀略的な内部関係者を必要とする場合がある。この方法では、CRAによって審査され、顧客に提供されたクレジットアカウントで支払い履歴を提供または提供することが承認された「ダミー会社(front company)」を不正行為者として使用する必要がある。
これらのダミー会社は、 不正行為の目的で作成された新会社でも、組織内の所有者または個人(例えば、信用または財務管理者)が組織化された不正行為によって損なわれている既存の企業でもよいといえる。
データ提供スキームでは、合成IDを作成することができ、既存の合成IDのクレジットファイルを充実させることができる。 典型的な方式は次のように動作する。
• ①「申請者」は、中古車などのビジネス製品の架空の購入に対してクレジットを申請し、認可される。
• ②毎月、事業者は、ファントムクレジットを提供した合成IDに関連するクレジットアカウントの支払いを報告する。
• ③数ヶ月にわたり、合成IDの信用スコアが向上し、詐欺師が犠牲者たるカード発行者からより多くの無担保信用を得ることができる。その結果、被害が広がる。
CRAがデータ提供者の製品価値をはるかに上回る金額のクレジット・アカウントなどの異常を特定するため、合成ID活動に従事するデータ提供者を特定することができる。 さらに、CRAは、複数の合成IDを特定のデータ供給者にリンクすることができる。
2.合成によるアイデンティティ詐欺:米国Revere Bank「SIFの検出と予防
米国Revere Bank「SIFの検出と予防Synthetic Identity Fraud: Detection and Prevention (2015年9月7日)から関係部を抜粋のうえ、仮訳する。
(1) Synthetic Identify Fraudとは如何なるものか?
合成による新たなアイデンティティ作成詐欺(SIF)には、盗難された社会保障番号(SSN)を実際の情報と加工された情報の組み合わせで頻繁に使用して架空の身元を作成することが含まれる。検出を遅らせるために、多くの組織化された犯罪者リングは、子供、高齢者および他の脆弱な集団のように、活発に使用されていないSSNを選び、ID偽造の対象とする。
合成アイデンティティ詐欺は伝統的な「なりすまし詐欺」とは異なるが、同様な損害を与える。 伝統的ななりすまし詐欺の際、加害者はあなたの情報を使ってあなたを偽装する。一方、SIFでは、詐欺師はあなたの情報を取り込んで新しいアイデンティティを作る。偽装自体はない。それにもかかわらず、詐欺師がいったんこれらの「架空の身元」を作成すると、クレジットの申請、預金口座の開設、保険契約の購入、医療給付の登録、運転免許証やパスポートの取得など広い範囲の不正が行える。
(2) なぜSIFは検出が難しいのか?
個人情報の盗難を検出するコンピュータシステムは、個人情報(名前、住所、SSNなど)を確立するために複数の個人情報に一致するように設計されている。 システムがこれらの要素のすべてに一致するものがなければ、その検知システムは動かない。一方、 SIFは実際のデータと架空のデータを組み合わせているため、従来の検出システムでは問題が検出されない場合がある。
SSNが盗まれた場合、SSNのみで検索を行う収集機関によって簡単に検出されるが、名前と住所が作成されていれば、犯罪者を追跡することは困難である。
(3) SIFの危険性は何なる点か?
SIFは検出するのが難しいため、詐欺師は詐欺的な購入や不正な信用供与ラインを開くまでに時間がかかる。 検出に時間がかかるほど、疑わしい犠牲者にはより多くの被害を与えることができる。すなわち、詐欺手口の例としては、① 即時クレジットマックスの利用:詐欺師はクレジット口座を開設、すぐに機関、小売業者、およびその他の貸し手から可能な最大額の与信を引き出す。② 睡眠口座(sleeper account): これらの口座はすぐに活性化され、信用限度額を増やすために良好な状態を維持することができるが、時間が経つとデフォルトにすることができます。 アカウントが存在する時間が長くなればなるほど、架空のカード保有者は現実のように見え、信用枠の追加対象となる。
(4)自分を守る方法とは?
① 個人の口座番号またはSSNを含む文書は常にシュレッダーする。
② SSNカード、パスポートなどの安全なロックボックスに正式な身分証明書を保管する。
③ 施錠可能なメールボックスを取得する。
④ SSA があなたに毎年通知している公的年金ステートメント(Social Security statement)に記載した給与支払額等に誤りがないか確認する。
ほとんどの場合、このような人為的な個人情報の盗難(SIF)は何年間も検出されない。そして犠牲者は、詐欺師が不正支払いを履行しなくなった後でしか検出できず、 かつ犠牲者はSSNに基づいて債務者から嫌がらせを受けるようになる。 これらの脅威から身を守るためには、常に金融機関等からの警告サインを探し、あなたの個人情報の内容に常に注意を払ってください。
3.アイデンティティ・セフトからの本人保護サービス
GAOは、 2017年3月30日に連邦議会あて報告「Identity theft (Protection )services:いくつかの利点を提供しするが、他方でこの新型詐欺防止には限界がある」を行った。
以下、ハイライト資料を以下、仮訳するが、詳しい個々の内容は報告全文(70頁)を参照されたい。
(1) GAOが明らかにした点
アイデンティティ盗難サービス (筆者注1)にはいくつかの利点があるが、一方で制限がある。個別に論じる。
① 信用モニタリング(credit montoring):ユーザーに警告することにより、新規口座詐欺(新しい未承認口座の開設)を検出するのに役立つが、他方で詐欺を防止したり、盗難されたクレジットカード番号の不正使用など既存口座に対する詐欺に対処できない。 消費者は、消費者の信用報告へのアクセスを制限することにより、新規口座詐欺を防止することができる低コストの信用凍結を要求しており、信用モニタリングにかわる信用監視の代替手段を持つべきである。
② 「アイデンティティのモニタリング(identity Monitoring)」は、公的な記録や不正なウェブサイトなどのソースを監視することによって、特定の個人情報を悪用されることを消費者に警告することができるが、なりすまし詐欺を緩和する効果という点では、なお不明である。
③ 「アイデンティティの復元(Identity restoration )」:なりすまし詐欺の影響を改善しようとするが、サービスのレベルは異なる。一部のプロバイダは、消費者の側に立って債権者とやりとりするなどの実践的な支援を提供する一方で、大部分のプロバイダーは、より限られた給付のため自立救済情報を提供するのみである。
④ 「個人情報盗難保険(identity Theft insurance)」:個人情報の盗難の是正のプロセスに関連する特定の費用をカバーするが、一般的に直接的な金銭的損失は排除されるため、クレームの数と金額は実際より低くなっている。
これらのサービスは、通常、医療上のアイデンティティや税金払い戻しの詐欺など、いくつかの種類の詐欺被害の脅威に対応していない。
様々な要因が、なりすまし詐欺保護対策サービス(Identity theft (protection) services)の提供に関する政府および民間部門の意思決定に影響を及ぼし、これらのサービスに関連する連邦政府の指導が改善される可能性がある。 連邦部門では、特定の機関になりすまし詐欺被害支援対策サービスを提供するよう法律が要求している。
たとえば、人事管理局(OPM)は、2015年のデータ違反(筆者注6)の影響を受けた個人に10年間サービスを提供するとともに、500万ドル(約5億4,500万円)の個人情報盗難保険を提供することを法律で要求している。
しかし、支払保険金が数千ドルを超えることはめったにないため、この保険金のレベルは不必要である可能性が高い。このような要件は、不必要に連邦政府の費用を増加させ、消費者にそのような保険範囲の恩恵について誤解を与え、市場での不当な補償範囲の拡大を引き起こす可能性がある。
OMBは、情報漏えいに対する政府機関の対応についてのガイダンスを持っているが、このガイダンスは、OMBのリスク管理と内部統制ガイダンスに沿った、より低コストの代替案に対するこれらのサービスの有効性については言及していない。
さらに、OPMは、2015年の違反の両方によって影響を受ける約360万人の人々に対して重複した個人情報盗難サービスを提供し、OMBは連邦政府機関が潜在的に無駄な重複を避けるためのオプションを探究していない。
また、OPMは個人情報侵害対応ポリシー.には、GAOによって以前に特定された主要な業務慣行とは対照的に、ID盗難サービスの提供時期を決定するための基準や手順は含まれておらず、OPMは、将来の情報に基づく意思決定を妨げる可能性のある過去の違反行為の対応策についてつねに文書が出せない。 民間部門では、企業は、責任を回避したり、州法を守るなど、個人情報の盗難のリスクを軽減する以外の理由で、データ侵害の無料の個人情報盗難サービスの影響を受ける消費者を提供する。
4.GAO のSynthetic identity fraud(SIF)Forum に関するreport
レポート内容のハイライト文を以下、仮訳する。
Synthetic identity fraud(SIF)は、加害者が社会保障番号(SSN)や名前などの実在情報や架空の情報を組み合わせて、金融機関、政府機関、個人を不正にする可能性のある身元を作成する犯罪である。 2017年7月現在、SIFの規模は不明であったが、パネリストはこの種の不正行為が広範な影響を及ぼしていることに同意した。 例えば、あるパネリストは、銀行がSIF関連の未払い債務により年間約5,000万ドル〜2億5,000万ドルを失った可能性があると指摘した。 政府機関もこれら損失に直面する可能性がある。 例えば、あるパネリストは、ある州がSIF関連の失業保険金詐欺罪で推定2億ドルを支払ったと述べた。また、あるパネリストは、SIF犯罪者がマネー・ローンダリングを通じてテロ組織に資金を提供した例についても説明した。
(1) SIFが原因となる広範な脅威
パネリストは、公的機関と民間機関がSIFと闘う際に直面する多くの課題を特定し、いくつかの課題に取り組むための選択肢を以下のとおり特定した。
(1)SIFの被害の予防(Prevention):金融機関のプライバシー法の解釈は、詐欺的不正行為についての情報共有や法執行機関との情報共有を制限する。追加的な明確な法規制ガイダンスの策定等により、金融機関同士の情報共有を改善できる可能性がある。
(2)•SIFの検出:民間および公的機関は、SIFを識別するために従来の不正検出手法(犠牲者の自己申告など)を使用する傾向がある。SIFでは、犯罪を報告する犠牲者はいないかもしれない。見かけ上は関連付けられていない複数の銀行口座(例えば、同一の顧客電話番号を有する異なる口座を識別するデータ・マイニング)を検出する高度なデータ分析は、従来の方法よりもSIFを検出する方が効果的である。
(3) SIF行為の訴追:社会保障庁(SSA)は、法執行機関の努力を遅らせることができるSSN検証の外部要求に対して、SSA給付に関連する詐欺事件に関するその資源に優先順位を付けた。
しかし、支払保険金が数千ドルを超えることはめったにないため、この保険金のレベルは不必要である可能性が高い。 このような要件は、不必要に連邦政府の費用を増加させ、消費者にそのような保険範囲の恩恵について誤解を与え、市場での不当な補償範囲の拡大を引き起こす可能性がある。
(2) GAOがこの研究を行った理由
データ漏えいを経験した民間企業や政府機関は、影響を受ける消費者に、通常、信用調査(credit monitoring)、身元調査(identity monitoring,)、身元の復旧(identity restoration)、個人情報盗難保険などの個人情報盗難サービスを提供します。 2015年のデータ侵害に対応して、OPMはID盗難サービスに約2億4000万ドルの義務を負う2件の契約を授与した。
GAOは、ID盗難サービスとその有用性に関連する問題を検討するよう議会から要請を受けた。 このレポートは、他の目的の中でも、(1)ID盗難サービスの潜在的利益と限界、および(2)政府および民間部門の意思決定に影響を及ぼす要因を調査します。 GAOは製品、研究、法律、規制、連邦指導および契約を見直し、大規模な市場参加者であったため、連邦政府機関、消費者団体、業界関係者、選出された8名のプロバイダーにインタビューした。
(3) GAOが推奨した事項
連邦議会は、データ漏洩後に提供される個人情報盗難保険の適切な保険適用範囲レベルを、連邦機関が決定することを認めなければならない。 OMBは、アイデンティティ盗難サービスの代替案に対する有効性を分析し、連邦政府機関のこれらのサービス提供における重複に取り組むための選択肢を検討すべきである。OPMは、これらのサービスを提供する際の違反対応方針を取り上げ、その意思決定プロセスを文書化する必要がある。 OPMは、同連邦機関に対するGAOの勧告に同意した。
******************************************************************************
(筆者注5-2)「バスト・アウト」の定義をあげておく。
クレジットカード詐欺の一種で、個人がクレジットカードを申請し、当初は通常の使用パターンと堅実な返済履歴を確立するが、次に請求書の金額を支払うつもりはないのに、数多くかつ限度額までを利用する。 バスト・アウトは、個人がカード発行者の信頼を発展させる初期段階と、多数の口座を開設し、クレジットラインの増加を受けて詐欺の第2段階でより多くの資金が利用できるようにする強い信用プロファイルを備えようとするもので、当該個人は、返済する予定のないクレジットカード取引を行うものである。
(筆者注6) 2015.7.11 日経ITpro記事「米政府人事管理局、2000万人以上の個人情報が流出」 参照。
**************************************************************************
Copyright © 2006-2017 芦田勝(Masaru Ashida).All rights reserved. You may display or print the content for your use only.You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.
※コメント投稿者のブログIDはブログ作成者のみに通知されます