東奔西走キャッシュレス 第59回 クレジットカードの不正利用、フィッシング対策の強化を

アプリにログインできれば、あとはアプリ内の操作でクレジットカード情報をApple Payに登録できます。この時、一度に1台しかログインできず、加害者がログインすると被害者側ではログアウト状態になるアプリもあります。こうしたアプリでは、アプリを起動したら再ログインが必要になって不審なことが分かりますし、再度ログインすれば犯人側のアプリはログアウトされます。仮にパスワードを変更されてしまってログインできなければ、それはそれで被害に遭っていることが分かります。

ただ個人的には最近の事例はアプリのログインではなくカード情報をフィッシングで窃取されたのではないかと想像しています。

いずれの場合もOTPが必要になることから、単なるカード情報やパスワードの漏洩だけでは犯行が難しいとみられ、フィッシング被害が最初に発生していることが推測されます。恐らく、本人は正常な操作をしただけだと感じているため、サイトに情報を入力した記憶もないかもしれません。

結果として、クレジットカードをApple Payに登録されてしまう、といのが今回の問題です。これに関しては、個人が対策をするしかないでしょう。
○リンクは信用しない、信用されない

こういった不正利用への対策としては、URLをきちんと確認する、というのが1つの方法です。「amazon」と「amazn」のように、似ている文字列で誘導するURLがあるので、きちんと正式なURLかどうかをチェックします。

IDとパスワードに関しては、パスワードマネージャーを利用するのも対策になります。パスワードマネージャーは、基本的にURLとセットでIDとパスワードを保管し、そのURLにアクセスした場合にセットで登録されたIDとパスワードを入力するという仕組みです。パスワードマネージャーが反応しない場合はURLが異なるということ。つまりフィッシングサイトの可能性がある、ということになります。

クレジットカード情報の登録画面は対策が難しいところです。一部のクレジットカード会社は利用通知メールを送らないようにしているので、そういった会社の場合はメールで通知が届いたらすべてフィッシングメールだと判断できます。

いずれにしても、メールやSMSでクレジットカード関係の通知が届いたら、あらかじめインストールしていたクレジットカード会社のアプリを起動して通知をチェックするのが安全です。メールやSMSのリンクからアクセスするのは、よほどきちんとチェックをしない限り危険な行為だと考えた方いいでしょう。特に、そのままログインするならば、せめてパスワードマネージャー（またはパスキー）を利用し、個人情報の入力はせずにブックマークからログインするかアプリを利用しましょう。