決済は城の跳ね橋のようなもので、橋が下りているときには、どんな難攻不落の城でもその全体が攻撃に対して脆弱になる。そして跳ね橋のように、攻撃のリスクを管理することも、各決済手段の役割の一つである。
しかし、泥棒や詐欺師は創意に富み、知恵の回る連中であり、テクノロジーに関して優位に立つことでアドバンテージが得られると知っているのだ。
その一例としてカード詐欺を見てみよう。
カード業界VS.カード詐欺業界
カード詐欺の業界は、カード業界そのものとまったく同じように、活気に満ち、絶えず変化している。そして、デジタル時代に合わせてアップデートされてきた。
初期の厚紙製のカードは複製が簡単で、カード保有者のサインを捏造するのもさほど難しくはなかった。
エンボス加工されたプラスチック製カードが登場すると、犯罪者たちはゴミ箱から古いカーボン紙の伝票を回収し、そのデータを使って偽のカードを作成した。
クレジットカードに磁気ストライプが搭載されたときには、ストライプにふくまれる情報はエンボス加工でカードに記された文字と同じであることをすばやく突き止めた。それゆえかれらは、引き続きゴミ箱から古いカーボン紙の伝票を回収し、偽のカードの磁気ストライプにそのデータを入力するだけでよかった。
対策として、カード会社は3桁のCVV(カード照合値)コードを磁気ストライプ──カードそのものではなく──に追加した。これは店頭では機能したが、電話越しではうまくいかなかった。ユーザーは自分のカードの番号と有効期限を伝えることはできたが、CVVコードはわからなかったからだ。
そこでカードネットワークは2つ目の3桁のコード、CVV2を追加しなければならなくなった。CVV2はカードの裏面に印刷された。これによってCVV2のカードを持っている人は自分のコードを販売店に伝えることができるようになったが、そのコードはエンボス加工されていなかったのでカーボン紙の写しには表示されなかった。
ゲームオーバー? まったくそんなことはない。詐欺師たちは、紙の伝票を読む方法から、磁気ストライプ(CVVコードをふくむ)を「スキミング」する方法へとすばやく移行した。
たとえば、店舗の端末やATMに小さな読み取り装置を取り付けることによって。カード業界はチップ(磁気ストライプよりもコピーするのが難しい)をカードに搭載することで対応した。また、かねて詐欺に利用されやすかったサインの代わりにPINコードを導入した。
