金融アプリRevolutのリアルカード・バーチャルカードにおいて、不正利用が相次いでいます。
強制再発行カードを狙った総当たりか
2023年5月頃より、Revolutのリアルカード・バーチャルカードを不正利用される事例がいくつも報告されています。
最も報告が多いのはHollywood, USのEscuela Cubana De Balletです。
他にもCarethy、Zaktruthsなどでの被害報告もあります。
私のカードも被害にあい、チャージバック申請を行い仮返金されました。
Escuela Cubana De Balletの決済では凍結されず、その後のMakati, PHのGrabでの不正決済で自動凍結されました。
不正利用の被害者が多いこと、利用していたサイトに共通点が見られないこと、中には一度も使っていないカードが被害にあった例もあることから、総当たりによる不正利用ではないかと考えられます。
Revolutは2022年7月に強制的にリアルカードを無料再発行させていたため、有効期限が同じカードが大量に存在する状態になっていました。
攻撃者はそのことを悪用し、カード番号とCVC (またはCVC不要の事業者を利用) を総当たりで試行したのでしょう。
オンライン取引をブロックしていても不正利用されたため、何らかの手段で偽装カードを作成したものと思われます。
【2023/05/06追記】
Revolutに限らずIDAREなど同様のサービスでも不正利用が発生し始めました。デビットカード・プリペイドカード系サービスを使っている場合は出来る限り凍結させて自衛しましょう。
今すぐできる対策は「カード凍結」
Revolutのカードを持っている方は今すぐアプリの「カード」画面からカードを凍結しておきましょう。
Revolutはリアルカード以外にもバーチャルカードや使い捨てカードを作成できるため、基本はそちらを使うようにしたほうが安全そうです。
バーチャルカードの再発行は別の月に行うなどして有効期限をずらした方が良さそうです。
おそらく今回の大規模不正利用で同時期の再発行が増えるため、同時期に再発行したカードはまたターゲットになる可能性があります。
総当たり攻撃はカード全般で起こりうる問題
今回の騒動で「Revolutはセキュリティが弱い」と思った方も多いかと思いますが、実のところ総当たり攻撃は「クレジットマスター」と呼ばれる手法で、あらゆるクレジットカード・デビットカードで発生する問題です。
クレジットカード番号の最初の6桁は発行者識別番号と呼ばれるものなので、一度発行するなどして確認してしまえば残りの10桁をランダムに試行してしまうだけで済んでしまいます。
高還元などで申し込みが集中するカードがあれば、今回の手口のように有効期限の推測もできてしまいます。
自分で凍結して決済を止めることができるカードはまだまだ少ないため、セキュリティと利便性のトレードオフになりますがRevolutをちゃんと設定しておいたほうが安心して使えます。