「不審な利用を検知しカードを停止しました」
今月、記者のもとにクレジットカード会社からメッセージが届いた。確認すると、身に覚えのない178万円の使用履歴があった。クレジットカードの不正利用は増加の一途をたどり、2023年の被害額は約540億円で過去最悪だ。突然当事者となって目の当たりにしたのは、不正犯の巧妙で抜け目のない手口だった。
味をしめ? 悪用後も「アタック」
最近はカード会社からの不正利用の通知を装い、個人情報を盗み取る「フィッシング」も横行する。まずは届いたメッセージが本物か否か見極めること1時間。公式ホームページを経由し、送付された認証コードを該当のページに入力し、不正利用とカードの停止措置を確認した。
すぐにカード会社のセキュリティー担当窓口に電話し、2度にわたり簡単な聞き取りと状況説明を受けた。被害額が大きいため調査に時間を要し、通常よりカードの再発行が遅れると告げられた。
説明によると、大金が使われた先はトレーディングカード(トレカ)の通販会社だった。日本のアニメを扱ったトレカは海外でも人気が高く、数百万円規模で取引されることも珍しくない。転売もしやすい。
驚いたのは、不正利用した翌日と4日後の2回にわたり、ある食品通販会社のサイトにカードを登録しようとした形跡があったこと。カードは停止されているため被害はなかった。「悪用後の再アタックは不正犯のよくやる行為です」とセキュリティー担当者。一度決済に成功すると、カードがまだ使えるかどうか調べるため、別のサイトで登録を試みるのだという。
数百円の少額から徐々に
聞き取りでは、不正利用された日以前のネット決済についても尋ねられ、300円程度の細かい支払いまで記憶があるかどうか確認された。
不正犯は、最初は明細などで気づかれにくい数百円規模の少額から悪用を始め、様子をみながら額を増やしていくことが多いそうだ。
持ち主のあずかり知らないところで、誰かがカネを引き出そうとうごめいていると考えると気持ちが悪い。どこでカード情報を入手したのだろうか。
セキュリティー担当者は「特定することはできませんが」と断った上で、今回の場合はセキュリティーコード(カード裏面に印字されている3桁の数字)も使用されており、過去に利用した電子商取引(EC)サイトが外部から攻撃を受け、情報を抜き取られた可能性が考えられると話す。メールや画面のなりすましによるフィッシングと合わせると、最近の情報流出のほとんどを占めるという。
とにかくこまめな明細チェック
偽サイトも巧妙化しているため一概には言えないが、フィッシングはある程度自分で防御のしようがある。しかし、過去に利用した通販サイトなどからの流出は、消費者にとって手も足も出ないのではないか。
「被害を防ぐには、明細をこまめにチェックして、不正利用をみつけるしかありません」。ほとんどのカード会社は不正から60日以内を補償の対象期間としている。たとえ少額でも、日付と金額、利用先の名称が合っているかなど明細をすぐに確認することが重要だと話す。
補償制度は万能ではない
今回のケースは補償対象で、記者に金銭的な請求はなかった。トレカの通販会社が売り上げを取り消し、損害を被った。警察に被害届を出すかどうかは、基本的に金銭的被害を受けた側が判断するという。
業界団体の「日本クレジット協会」は、不正利用の実態を明らかにするため被害状況を集計している。補償制度について広報担当者は、「明細をよく確認しなかったり不審な売り上げに気づかないまま期限が過ぎたりすれば補償を受けられなくなる」と注意を促す。事業者に向けて、最新情報を盛り込んだセキュリティーガイドラインの策定にも取り組む。
経済産業省は25年3月末までに、カード情報に加えて、ワンタイムパスワードなどを用いて本人確認を行う仕組みの導入を原則全てのEC加盟店に求めている。【太田敦子】