8桁の数字を覚え､客のクレジットカードを使い込む…レジ係の高校生バイトが手を染めた"クレカ詐欺"の手口

※写真はイメージです - 写真＝iStock.com／Kiwis

クレジットカードの不正利用が急増している。昨年の被害総額は過去最悪の540億円だった。ITジャーナリストの三上洋さんの著書『深掘り！ IT時事ニュース　読み方・基本が面白いほどよくわかる本』（技術評論社）から、カード情報を盗み取られた手口を紹介しよう――。

■クレジットカードの不正利用被害が急増

クレジットカードを勝手に第三者に使われる不正利用は、クレジットカード誕生の頃からある古い犯罪です。クレジットカード会社は、安全性の高いICカードの普及など様々な対策を取っており、一時期は不正利用被害額が大きく減りました。

しかし近年になってクレジットカード不正利用が急増しています。図表1は、約20年間のクレジットカード不正利用被害額のグラフです（日本国内）。

出典＝『深掘り！ IT時事ニュース　読み方・基本が面白いほどよくわかる本』

インターネットの普及と共に2003年頃まで増えていた不正利用ですが、対策によって大きく減少し2010年代前半には年間で80億円を切っていました。しかしその後、犯罪グループ側の組織的犯行により再び被害額は増えています。

特にコロナ禍でネット利用が大幅に増えたことから、不正利用被害も増えています。ネットに不慣れな層を狙った詐欺が横行したためです。2023年は史上最悪の約540億円の被害となりました。毎日1億4000万円以上の被害が出ている計算です。

では犯罪者はどうやってクレジットカード番号などを盗み取っているのでしょうか。番号詐取の手口をまとめたのが図表2です。

イラスト＝タラジロウ

出典＝『深掘り！ IT時事ニュース　読み方・基本が面白いほどよくわかる本』 - イラスト＝タラジロウ

■カード暗号の暗記などの原始的な手法も

まず「フィッシング詐欺」「偽ECサイト」は、私たちを騙してクレジットカード番号等を偽サイトに入力させる手口です。もっとも被害が大きい手口と言えるでしょう。後述しますが、偽サイトへの誘導を巧妙に行っています。

「不正アクセス」と「ウェブスキミング」は、販売サイト（ECサイト）へのサイバー攻撃でクレカ番号を入手する手口です。対策によって「不正アクセス（保存されているリストの入手）」は減っていますが、その反面ウェブスキミングが増加しています（後述）。

私たちユーザーが対策できない手口もあります。「クレジットマスター」と呼ばれるもので、犯罪者が自動生成によってクレカ番号を作って不正利用するものです。

古くからあるクレカ番号入手の手口としては、「盗難・紛失」や「スキミング」があります。盗難では海外の観光地などにいるスリ・強盗グループによるものが目立ちます。これらの犯罪者は組織化されており、盗まれた直後に高額な決済をされてしまう場合もあります。

「スキミング」はカードリーダーなどを悪用して、ショップやレストランの店員が悪用するものですが、カード会社による対策（ICカード化など）により減少してきました。しかしカード自体を見て暗記する・写真を撮るなどの原始的な手口での悪用もあります。

■レジバイト中にお客のカード情報を盗んだ高校生

原始的な手口である「カード番号の暗記」の事件としては、2020年に高校生が航空券を不正に購入した事件があります。70代の女性のカード情報を使い、航空券の予約サイトで14万円相当のチケットを購入して逮捕されました。余罪は他にもあり、被害総額は1000万円以上になると報道されています。

手口は単純で「カード情報の盗み見」でした。この高校生はスーパーでレジ係のアルバイトをしており、クレジットカード番号を暗記したと供述しています。

クレジットカード番号は16桁で暗記するには難しいと思う人もいるかしれません。しかし実際には16桁をすべて覚える必要はありません。まずクレカ番号の最初の4桁は、クレジットカード会社を表しています。つまりブランド名やカードの色などを覚えておけばいいのです。さらにクレジットカードの売上票には末尾4桁などが記載されることが多くなっています。この売上票を渡さずに手元に残していた可能性があります。

これがうまくいけば残りは8桁であり、簡単に記憶できたでしょう。有効期限は5年以内の西暦と月ですから覚えることは難しくないはず。暗証番号が問題ですが、こちらは手元を見ていた可能性があります。

この高校生はもうひとつ巧妙な手段を使っています。不正利用する際にオンライン決済、およびアプリ決済を利用していました。クレジットカードをキャッシュレス決済かスマホ決済に登録して使っていたのでしょう。スマホ決済では実カードを持っていなくても、タクシーや店頭などで簡単に決済できるため利用したと考えられます。

■「激安」は詐欺サイトを呼び込む検索ワード

フィッシング詐欺は有名サイトや企業公式サイトの偽サイトに誘導するパターンですが、そもそも存在しない偽ショッピングサイトを作ってクレジットカード番号を盗み取るパターンもあります（偽ECサイト）。

三上洋『深掘り！ IT時事ニュース　読み方・基本が面白いほどよくわかる本』（技術評論社）

誘導には検索サイトやSNS広告が使われています。検索サイトでは「商品名」「ブランド名」を検索した場合、公式サイトや大手販売サイトが表示されます。しかし「商品名　激安」などの追加キーワードを入れると、詐欺サイトが表示されることがあるのです。

時計やカバンの有名ブランド名、ゲーム機などの高額商品がよく狙われており、「ブランド名　激安」で検索すると1ページ目、つまりトップ10に表示されることも珍しくありません。

存在しない偽ショッピングサイトではあるものの、デザインも自然ですし日本語もおかしくありません。特定商取引法の表示（住所、企業名、電話番号）なども書かれているため、騙されてしまう人もいるでしょう。

■大手のショッピングサイトで信用を買う

これら検索結果に出てくる偽ショッピングサイトは、検索サイトのブラックリストに入らないような工夫をしています。私たち人間が検索すると偽のショッピングサイトが表示されますが、検索サイト運営側の巡回プログラム（データ収集用）向けには、別の問題のないサイトを見せるのです。対策をくぐり抜ける手口を使っています。

多くの偽ショッピングサイトは海外の見慣れないドメインを使っていますが、なかには日本の「.jp」ドメインを使っていることもあり、ドメインだけでは見抜けません。デザインなど外見での判断も難しいでしょう。

対策としては「買い物は大手ショッピングサイトのトップページからすること」に尽きます。検索サイトで希少なもの、安いものを買おうとするのは危険だからです。多少高くても信用できる大手ショッピングサイトのトップページを使ったほうが安全です。

----------

三上 洋（みかみ・よう）
ITジャーナリスト
ITセキュリティやスマートフォン業界に精通するITジャーナリスト。守備範囲はウイルスからネット炎上まで多岐にわたる。

----------

（ITジャーナリスト 三上 洋）