【後編】クレカなどの不正利用はかなり深刻！？ 防ぎようのないクレジットマスターの手口とは？ 不正利用対策を専門家が解説！（菊地崇仁）

前回は不正利用の大部分は「番号盗用」である事を紹介した。

「番号盗用」とはクレジットカードの番号、名前、有効期限、セキュリティコードが何らかの形で盗まれる被害となり、「物理カードの写真・動画撮影」「フィッシング」の手口を紹介し、筆者が今回不正利用未遂被害は「クレジットマスター」の手口と断定した。

今回は、クレジットマスターとはどのような手口なのか、どのように不正利用の対策をすべきかを紹介する。

■クレジットマスター

クレジットマスターはクレジットカードの番号の法則を利用した手口となる。

クレジットカード番号には規則性があり、正しいカード番号か正しくないカード番号かは関数などを使えばエクセルでもチェックすることができる。

以前はネットワークやサーバーの処理能力が遅く、入力チェックはできるだけローカル（入力している端末側）で行い、ある程度のチェックした情報をサーバーに送信し、ネットワークやサーバーに負荷をかけないようなシステム設計をしてきた。

そのため、入力された情報がサーバーに送る前に正しいか・正しくないかをチェックできる仕組みを用意する場合があり、クレジットカード番号も計算することで正しいか・正しくないかを確認する事ができるようになっている。

ローカル側で「正しいカード番号かどうか」「入力した有効期限が過去の年月ではないか」「セキュリティコードの桁数が正しいか」をチェックしてからサーバーに送信すれば、ネットワークやサーバーの負荷を軽減できるわけだ。

ローカルで事前チェックする理由

サーバー（カード会社）側で、送られてきたカード番号や有効期限・セキュリティコードをチェックし、正しい場合は決済処理、正しくない場合はエラーを返すと言う流れとなる。

最近はネットワークも高速化し、サーバー側の処理能力が上がっているが、カード番号についてはこれまでと同じ仕組みが使われており、今でもカード番号が正しいか、正しくないかを簡単に確認することができてしまう。

今回、「じぶん銀行スマホデビット」では、計算結果により正しいとカード番号と固定され、その番号に対して、1度につき5回有効期限・セキュリティコードを変更してチェックをされており、カード番号、有効期限、セキュリティコードの正しい組み合わせを突き止めるという作業がシステム的に行われていた。

クレジットマスターで有効期限・セキュリティコードを特定するイメージ

「じぶん銀行スマホデビット」ではカードの決済ができなかった場合でもメール通知があったため、何度も試されている事を確認ができたが、通常のクレカなどでは、決済エラーでは通知がない場合がほとんどだ。

その場合、未遂を事前に知ることはできず、実際に使われたときにはじめて試されていたという事実に気がつくことになる。

今回の「じぶん銀行スマホデビット」で送られてきたメールを見ると、チェックに使われていたサイトは海外ショッピングサイトではなく、国内ショッピングサイトだった。

最近のクレカなどでは海外利用を拒否するなどのオプションもあるが、海外利用を弾けば不正利用を防げるようなレベルではなくなってきている。

クレジットマスターの場合、カードを落としたり、フィッシングに引っかかったりせずに、誰でも被害にあう可能性があり、防ぐ方法はない。

では、不正利用対策はどうすれば良いのだろうか。

基本的に、クレカの不正利用は期間内に問い合わせれば不正利用された分は支払う必要がない。筆者は何度か不正利用の被害にあっているが、全て返金されている。

早めに気がつくことがポイントとなるため、不正利用対策は「利用通知があるカードを使う」「利用明細を必ずチェックする」「使わないカードは解約する」の3点で考えよう。

■利用通知があるカードを使う

最近は「利用した」と言う通知がアプリやメールで送られるカードがある。

使っていないのに使ったという通知が来れば、不正利用の可能性が高く、通知内容を確認して、使っていないと思われる場合はすぐにカード会社に問い合わせよう。

■利用明細を必ずチェックする

利用通知があるカードを使っていたとしても、利用方法に酔っては通知されない場合もある。

例えば、継続課金などの場合、使ったタイミングでないのに通知が来るため、不正利用と勘違いしてしまうだろう。そのため、継続課金や固定費などの支払いは通知の対象外にしているカードも多い。

従って、不正利用対策としては、必ず利用明細を確認するようにしよう。

最近はアプリをインストールし、一度ログインしておくと、生体認証などでログインID・パスワードなどを入力せずに利用明細を確認することも可能だ。

「速報値」などを確認すると、過去数日以内に使った利用明細も確認できる。

■使わないカードは解約する

使っていないカードはハサミを入れるのではなく、必ず解約するようにしよう。

ハサミを入れて物理カードが使えなくなったとしても、カード自体は生きているためオンラインでは利用できてしまう。クレジットマスターでカード番号などを特定されてしまえば、オンラインでカードは利用されることになる。

使っていないカードや使う予定のないカードは、確実に解約する事。

---

2023年の不正利用被害額はまだ半年分しか集計されていないが、半年分で比較すると、2022年よりも増えている。おそらく、2023年の不正利用額は過去最高額となるだろう。

	2022年	2023年
1月～3月	100.1億円	121.4億円
4月～6月	106.2億円	141.0億円

不正利用の被害にあわないようにするにはクレカなどを持たない以外方法はない。

被害に早く気がつけば消費者としては安心して利用することができる。クレカを使わないことは難しく、安心・安全に利用するには、上記の対策を徹底するようにしてほしい。