クレジットカードやキャッシュレス決済に関する悩み・疑問を“クレカの鉄人”岩田昭男師範がズバッと解決する連載企画。今回は、近年ますます増加するクレジットカードの不正利用やフィッシング詐欺の最新情報を紹介。不正利用被害、詐欺被害を未然に防ぐ方法を岩田師範が伝授します!
【第28回】クレジットカードの不正利用を防ぐ方法を教えて!
【解説する人】岩田 昭男
クレジットカード、キャッシュレス決済分野の取材・研究に30年以上携わるご意見番。『あなたの生活をランクアップさせる プレミアムカード』(900円/マイナビムック)など著書・監修書多数。
【今月の悩める子羊】鴨志田 了(かもしだ りょう)
オフィス用品の販売会社で働く38歳会社員。先日、クレジットカード会社から電話があり、カードが不正利用されかけていたことがわかった。幸いカード会社が取引を停止したため実害はなかったが、カード・セキュリティの大切さを痛感。カードの不正利用防止のために何をやればいいか知りたいと道場を訪ねた。
(相談者の要望)
⚫︎カードの不正利用やフィッシング詐欺から身を守る方法を教えて
⚫︎カード会社はどんな対策を取っている?
⚫︎ほかに注意すべきフィッシング詐欺があったら教えて
この記事でわかること
クレジットカード不正利用の被害額は過去最悪の555億円に!
師範 クレジットカードの不正利用被害に遭ったというのはおぬしか。
鴨志田 正確には、実害はなかったんです。でも、カードは使用停止になるし、電気代、ガス代などいろんな引き落としのカード番号を急いで変更しなきゃならなくて大変でした。
師範 ふむふむ。いま、そうした被害は日本全国で激増していて、日本クレジットカード協会によると昨年1年間のクレジットカード不正利用の被害額は過去最悪の555億円じゃった。
特に“なりすましメール”で偽のサイトに誘導し、カード番号やパスワードを騙し取る「フィッシング詐欺」は昨年の報告件数が約170万件で、一昨年より約50万件も増えとる。カード会社や通販サイトなどもいろいろ対策を練ってはいるが、我々一般消費者も詐欺に遭わぬよう、注意を払うことが肝心じゃ。
鴨志田 そもそも、クレジットカードの不正利用ってどうやってるんですか?
師範 以前はスキミングによる偽造カード作成・使用が多かったが、最近はクレジットカードのICチップ採用によりスキミング被害はかなり減ってきた。代わりに増えとるのがフィッシングメールなどで、これはカード情報を盗んで行う不正利用。背景には、オンラインショッピングなど物理カードを使わない取引が主流になったことが挙げられる。また、最近は大きな金額でなく、被害者が気づかぬ少額の不正利用を何度も行う手口が増えとるそうじゃ。
鴨志田 確かに1000円もしない買い物はしっかり確認しないことが多いです。不正利用というと高額被害のイメージがあるけど、これは盲点ですね。
師範 フィッシングの手口は主に3つ。ひとつめは「カード会社を装った偽メールや偽SNS」でカード情報を入力させるやり方じゃ。
鴨志田 これは私のところにも毎日送られてきて、速攻、迷惑メールとして報告するか削除してます。
師範 ふたつめは「ネット通販など本物に酷似した偽サイト」でカード情報入力を促すもの。3つめは「偽のセキュリティ警告を出して詐欺サイトに誘導」する手口じゃ。
鴨志田 あ、偽のセキュリティ警告、ときどき急に出ます! あれを見るとすごく焦ってクリックしそうになります。
師範 ちなみに電話で銀行や警察を名乗り、クレジットカード番号や暗証番号を聞き出す手口もある。また、自動音声で「銀行口座に不正アクセスがあった」などと騙り、折り返し電話をかけさせてカード番号や暗証番号を聞き出すケースも出てきた。メールでなく電話で応対させることで相手を焦らせ、正常な判断力を奪うのが狙いじゃ。
鴨志田 いや〜、それは私も騙されそう。
師範 そのほか、企業へのサイバー攻撃などによる顧客情報・カード情報の漏洩が大規模なカード被害につながる場合も。これは企業側にしっかり対策を取ってもらうしかないな。
不正利用防止の基本は「メールのリンクを踏まない」「パスワード管理」「二要素認証」「利用明細確認」
鴨志田 そういう犯罪から私たちが身を守るには、どうすればいいんでしょうか?
師範 まずはフィッシング詐欺にひっかからないこと。と言っても最近の詐欺メールはよくできとる。以前のように日本語がおかしいことも少ないし、メールアドレスのドメイン名(@以降の部分)を本物と同じに偽装したものも。一番安全確実なのは、たとえそれが本物のメールでも、リンクされたURLはクリックしないこと。Amazonなどよく使うサイトならあらかじめブックマークしたり公式アプリを使うなどして、そこからログインする。これを徹底すれば、フィッシング詐欺はかなり防げるはずじゃ。ちなみに以前は、検索エンジンでウェブサイトを検索してログインする方法も安全とされたが、近年検索エンジン最適化技術を悪用することで、検索トップに偽サイトが表示される事例が出ており、絶対安全とは言えんようになった。
また、通販サイトは信頼できるところのみ利用すべし。日本語表記がおかしいサイトや、URLが不自然に長かったりランダムな文字列が入っているサイトは要警戒。価格が異常に安いサイトだけでなく、怪しまれない程度に安い価格に設定しているサイトもあるから気をつけねばならん。そうしたサイトは決済しても商品が届かなかったりまったく別の粗悪品が届き、カード情報だけ盗まれることになるぞ。
鴨志田 そういう偽サイトに限って、すでに売り切れている人気アイテムがまるで買えるかのように載せていたりして、騙される人が多いのもよくわかります。
師範 とにかく信頼できるかどうかわからないサイトはできれば利用しない。それでも利用したいと思う場合は、事前にそのサイトに関するクチコミや企業情報をよくよくチェックして、少しでも怪しいところがあったらキッパリ利用をやめるべきじゃ。あとは公共Wi-Fiが使える場所もセキュリティが極めて脆弱。公共Wi-Fiで個人情報やクレジットカード情報などを入力するのは絶対にやめたほうがよい。
鴨志田 ひゃあ、私そんなことまったく考えずに公共Wi-Fiを利用していた気がします。怖い!
師範 次に大事なのはパスワードの管理。簡単なパスワードは厳禁で、パスワードの使い回しもやってはならん。オススメはパスワードマネージャーの利用で、パソコンやスマホに保存したパスワードを一元管理できていちいち覚えておく必要もないし、十分安全なパスワードを自動生成もしてくれる。パスワードは暗号化されるから、他人が情報を読み取るのは困難。GoogleやAppleのパスワードマネージャーは利便性は高いが、アプリ自身はハッキングに対して脆弱で、安全性では専用のパスワードマネジャーに劣る。Microsoft Authenticatorやノートンパスワードマネージャーなどは無料でも優秀じゃから、セキュリティ重視ならそれらを使うのもよかろう。
さらに第3の対策として、通販サイトの決済時や会員サイトのログイン時に「二要素認証」の設定をしておくことも重要。登録済みのパスワード(知識要素)、ユーザーのスマホや携帯電話のSMSに送られるパスワードを入力するSMS認証(所有要素)、スマホの顔認証や指紋認証(生体要素)の三要素のうちの2つを組み合わせるとハッキングが格段に難しくなる。
鴨志田 パスワードマネージャーも二要素認証も面倒臭くてやってなかったんですが、やっぱりやらないとダメですね。
師範 そして4番目に大事なのは利用明細を定期的に確認すること。カード決済時やスマホ決済時のプッシュ通知・メール通知を確認するほか、利用明細を最低でも月に1回は確認する習慣をつけよ。最近はスマホのアプリから手軽に確認できるカード会社も多い。先ほども言ったが、特に「少額取引」はこまめにチェック。多くのカード会社はカードが不正利用された場合の補償期間を60日と設定していて、それを過ぎると補償を受けられんぞ。
鴨志田 これまた面倒臭がってやってなかった~! それにしてもいろいろやること多くて大変ですね。
師範 いやいや、パスワードマネージャーは一度設定すればあとは手間なし。二要素認証も指紋認証や顔認証なら超簡単。利用明細チェックだけは確かに少々面倒かもしれんが、不正利用でお金が戻ってこないときの損失、精神的ショックを考えたら安いもんじゃ。
「3Dセキュア2.0」の導入でセキュリティ強度は圧倒的に高まる!
鴨志田 お話を聞いていると、フィッシング詐欺の手口って年々巧妙化してますよね。カード会社や通販サイトは何か対抗策は打ってないんですか?
師範 もちろんそれはやっとる。例えば「3Dセキュア2.0」の導入。オンラインショッピングなど非対面決済の際の従来型本人認証システムである「3Dセキュア1.0」は、カード番号や有効期限などのカード情報と固定のパスワード入力で安全性を確保していたが、「3Dセキュア2.0」は生体認証やワンタイムパスワード、QRコードなどを認証に利用することで、セキュリティ強度が格段に上がった。また、「3Dセキュア2.0」では「リスクベース認証」というユーザーのアクセス状況の分析から推定したリスクに基づく認証技術により、取引リスクに応じて認証方法を最適化。リスクの低い取引ではワンタイムパスワードの入力が不要になり、利用者の利便性もアップしている。
鴨志田 この取引は絶対本人だからワンタイムパスワードは必要ないってAIが判断するんですね!
師範 この「3Dセキュア2.0」は「2025年3月末までにすべてのEC加盟店で導入が義務化される」とアナウンスされていたから、現在はどの通販サイトもこの方式に切り替わっとるはずじゃ。ほかには、クレジットカードのサインによる決済がこの3月末で廃止されたのがニュースになっとったな。今後は決済時に必ず暗証番号の入力が必要になるが、カードを盗まれたり偽造されても使われる心配が少ないと高評価のようじゃ。
鴨志田 まあ、最近はクレジットカードを使う機会も多いのでほとんどの人が暗証番号を覚えてると思いますけどね。
師範 ちなみにこの4月からは、国内カード会社8社と株式会社アクシオン、日本クレジットカード協会が共同で、フィッシングサイトを閉鎖する取り組みを開始。フィッシング対策や不正検知などのプラットフォーム事業を行うアクシオンのノウハウを活かしてフィッシングサイトを能動的に検知、そのサイトが利用しているブラウザ提供企業やプロバイダーにそこが詐欺サイトだと申告し、サイトの閉鎖を依頼する。さらに、フィッシングが多く報告される企業や業界団体に詐欺サイト閉鎖に必要なノウハウを提供するなどの活動も行なっていくようじゃ。
対策の網の目をかい潜る不正利用は今後も登場する。それだけに最初のカード情報流出防止が重要!
鴨志田 それだけいろいろ対策されていると、今後はフィッシング詐欺も減っていくと期待したいですが……そう簡単ではないんでしょうね。
師範 それらの対策の網の目をかい潜る新たな手口の不正もすでに出てきとるしな。例えばイオンカードでは2024年3月以降に決済サービスでの不正利用が相次ぎ、計99億円の被害があった。これはフィッシング詐欺で盗まれたカード情報が別のスマホに登録されて悪用されたんじゃが、ポイントは「利用額が低額ならオフラインで決済できる仕組み」を悪用したこと。機内モードなどで通信を遮断することで不正発覚を遅らせ、その間に少額決済を繰り返したらしい。同様の被害はApple Payでも起きているが、恐ろしいことにカードを停止したそのあとも不正利用が続いたらしい。
鴨志田 なんと! そんなオカルトみたいなことがあるんですか?
師範 オフライン決済の場合、支払いの利便性を考え、カードが有効かどうか通信で確認する工程を後回しにしていったん決済を行うため、停止したカードでも使い続けられた。オフライン決済という、“性善説”に基づいたシステムの脆弱性に付け込んだわけじゃな。ちなみに現在イオンは対策を講じているが、Apple Payに関しては決定的な対応策を取ったという話はまだ聞かない。とはいえ、こうした被害も最初のカード情報・パスワードの流出がなければ防げたこと。ユーザー個人のフィッシング対策がより重要というわけじゃ。
鴨志田 なるほど、それはかなり気が引き締まる話です。
師範 ちなみに、クレジットカード以外のフィッシング詐欺にも要注意。わしの知り合いがつい最近被害に遭いそうになったが、なんでも某有名企業を名乗る者から「至急連絡をくれ」とのショートメールが届いたそうで、そこに書かれた番号に電話をかけると「10年前に入会していたオンラインゲームで会費の未払いがある」という。そんなゲームやっていたか記憶が曖昧だったそうじゃが、その総額が数百万円と聞いてビックリ。政府のある機関を仲介すれば99万円まで減額できると言われ、「そんな金はない」と言うと、「とりあえず3万円払え」と。どうやって払えばいいかと聞くと「コンビニに行ってAmazonギフトカードを買ってカード番号を読み上げろ」と言われ、そこでやっと詐欺だと気づいたそうじゃ。
鴨志田 最近の詐欺はもうクレジットカードは使わないんですかね!
師範 ギフトカードはクレジットカードに比べて足がつきにくいからな。また、犯人があらかじめギフトカードを購入し、その支払い番号を伝えてコンビニで代金を払わせるケースもあるそうじゃ。とにかく、代金をギフトカードで要求してきたらそれはまず詐欺で間違いない。
鴨志田 そういえば最近、私のスマホにも「0800」で始まる電話がかかってきて、その番号を検索したら「詐欺商材サイトの社長の番号。闇バイト関係者」と出てました。
師範 そもそもおぬしが相談にくるきっかけを作った「クレジットカード会社からの電話」も実は詐欺電話という可能性があったぞ。突然メールや電話で「不正利用」「料金未払い」などと言われるとどうしても慌ててしまうが、相手の名前を聞いてから一度電話を切り、かかってきた番号でなくクレジットカード裏面に記載されたコールセンターの番号に電話して、前の電話の内容が本当か確認するくらいの冷静さを持っておきたいものじゃ。
※価格は、特に言及のないものはすべて税込価格。情報はすべて本稿執筆時のものです。
構成/佐伯尚子 文/平島憲一郎 監修/岩田昭男