「イオンカード」の不正利用が急増した根本原因 なぜここまで返金対応が遅れているのか

　近年クレジットカードの不正利用に関する犯罪が増えているが、その利用スタイルの変化や対策手段の登場にともない、以前とは違う形での不正利用が増加している現状がある。

　以前までであればスキミングや番号の盗み見などの手段で入手したカード番号を元に偽造カードを作成する手法が多かったと思われるが、ICチップ利用の必須化により偽造カード作成は困難になり、盗んだカード番号をオンライン取引で利用するケースが一般化してきている。

　まずユーザーにフィッシングメールを送信してカード情報の入力を促したり、あるいは決済サービスを提供する企業のサイトをハッキングしておき、そこに入力された情報をかすめ取るといった手法だ。

　このようにして盗んだカード番号をオンラインの決済で利用して換金性の高い商品を購入し、売却することで利益を得るのが犯人の狙いだが、もともとオンラインでの取引は、人と人が店頭で行う対面取引に比べても不正利用がしやすいこともあり、3Dセキュアのような追加の本人確認手段が必須化されるなど、“素”の状態でカード番号を入力してもそのままでは決済が行えないケースが増えている。

　以前なら比較的登録条件が緩かったAmazonの海外法人も登録をカード番号登録を厳格化したり、モバイルSuicaのオンラインチャージ経由での不正利用が目立ったJR東日本でも1日あたりのチャージ金額に制限を設けるなど、対策が進みつつある。

●イオンカードで不正利用が頻発した“穴”

　下記の記事にあるような今回のカードでの不正利用は、何らかの手段で盗んだカード番号をオンライン取引で直接利用するのではなく、特定のルートで得たカード情報を「Apple Pay」に登録することでユーザーの本人確認作業をスキップできる仕組みを悪用したもので、さらに発覚を遅らせて、かつ利用者が気付いたとしてもすぐに止めることが難しい状況を作り出すことで被害が拡大した。

・イオンカード、不正利用の対応遅れを謝罪　「カード止めてと依頼しても止まらず、数十万円請求された」などの声

・クレカの不正利用対応で物議、なぜ対応が遅れているのか「イオンカード」発行元に聞いた

　今回のイオンカードの不正利用について大枠での動きをまとめると、フィッシングメールなど何らかの手段でユーザーから得たカード番号やログイン情報を使って悪意のある第三者がApple Payへのクレジットカード登録を行い、この際に強制的にひも付けられる「iD」を利用してリアル店舗での買い物を連日繰り返した点にある。上限金額にして1万円ほど、これを連日異なる店舗での買い物に利用し、買い物通知は本来の利用者には届かず、後で請求が送られてきた時点で初めて気付くといった具合だ。