クレジットカードを少額で不正利用されていない？ 巧妙な新手口を解説

　そういう意味で気になる注意喚起がクレジットカード事業者のJCBから発表されたので、こちらを紹介しましょう。

　この詐欺の手口に引っかからないためには、クレジットカードを「Apple Pay」や「Google Pay」など、スマートフォンのウォレットに登録する作業を知っておく必要があります。JCBのクレジットカードをウォレットに登録する際には、スマートフォンでの登録作業のあと、本人認証として“利用者が指定された電話番号に電話する”という処理が必要です。

　クレジットカード会社によっては、事前に登録された携帯電話番号にSMSが送信され、そこに書かれたコードを入力することで本人確認をする仕組みが使われていますが、その逆に、電話をかけることで有効にするという手法を使う事業者もあります。問題は、この手法がどうやら攻撃を受けているということです。

　攻撃者は恐らく、カード契約者とは別の場所でスマートフォンにクレジットカード情報を入力し、認証が必要となった状態で契約者にフィッシングを実行しているものと推察できます。仕組みとしては、契約者が登録した携帯電話番号から指定の電話番号に一瞬でも通話できれば認証が完了しますので、電子メールやSMSに電話番号リンクを送り、そこをタップさせることでスマートフォンでの決済が有効になります。

　金額によっては有効性を確認せずに決済できるため、少額ながら不正に利用される可能性があります。このような注意喚起が発せられたということは、それなりに不正利用が増えた、と見ることができるでしょう。実は筆者もApple Pay登録時に他社と異なるフローを体験し、「これ大丈夫なのかな」とほんの少し思っていたところです。

　もちろん不正利用を検知して保険でカバーできるのが、クレジットカードの利点です。それでもやはり、このような不正利用の被害に遭わないのが一番です。この事例では恐らく、クレジットカード事業者から利用者のID／パスワードが漏れている可能性があるため、弱いパスワードを使わないなどの認証情報の保護を意識することが重要です。また、多くの方は一度も利用したことがなく、今後も利用しないであろう「リンクをタップして電話をかける」機能は使わないことをお勧めします。

　筆者は実は、当初この注意喚起メールを完全に見逃し、ごみ箱に直行させるところでした。なかなか注意喚起は電子メールでは伝わらない時代になってしまったことも問題を難しくしています。そのためできれば皆さんも「フィッシング詐欺に引っ掛かりそうになった話」などを、身近な同僚、家族と共有してみてください。

筆者紹介：宮田健（フリーライター）

＠IT記者を経て、現在はセキュリティに関するフリーライターとして活動する。エンタープライズ分野におけるセキュリティを追いかけつつ、普通の人にも興味を持ってもらえるためにはどうしたらいいか、日々模索を続けている。