クレジットカードやキャッシュレス決済に関する悩みを鉄人・岩田昭男がズバッと解決する連載企画。今回は、クレカの利用者が常に不安を抱える「カード不正利用」への防御対策の基本を伝授します。
クレカ錬金道場【第3回】カードの不正利用に遭わないための要注意ポイントを教えてほしい!
【解説する人】
岩田昭男
岩田昭男◎クレジットカード、キャッシュレス決済関連の取材・研究に30年以上携わるオピニオンリーダー。『あなたの生活をランクアップさせる プレミアムカード』(900円/マイナビムック)を3月29日に発売。
【今月の悩める子羊】
釣上 辰徳(つりうえ たつのり)
都内の機械メーカーで働く会社員(31歳)。先日同僚がフィッシングメールに引っかかりカードを不正利用されたと聞き、不安を感じている。そこでカードの不正利用に巻き込まれないためのコツを知りたいと思い、道場を訪ねた。
「自分は大丈夫」と思っても不正利用は起こるみたいでとても心配!
○カードを不正利用されないための注意点を教えてほしい。
○特にフィッシングメールに引っかからないための基本を知りたい。
○そもそもフィッシングメールはどう見分ければいいか教えて。
師範 カードの不正利用に毎日怯えているというのはおぬしか?
釣上 はい。同僚がまさに被害に遭いまして。幸い不正が早く見つかり、被害額はカード会社が補償してくれたそうですが、カードを使用停止にしたり警察に被害届けを出したりとすごく大変だったそうです。
師範 うむ。最近はAIを使った不正検知システムで疑わしい決済を自動停止するうえ、万一不正が行われても補償をしっかりしてくれるカード会社が多いが、それでも自分名義で知らない買い物をされては気分がよくない。また、おぬしも言うように、再発行中は当然カードは使えず、生活に支障をきたすことも多い。できれば、不正利用されないのが一番じゃ。
釣上 でも、どうすれば不正利用は避けられるのですか?
師範 一言で言えば「カード情報を盗まれないこと」に尽きる。そもそもカードの不正利用は、プラスチックカードの普及とともに本格化した。かつてアメリカで、郵便局員がカードを届けると芝生の庭の入り口に男が立っとる。男はその家の主人だと言ってカードを受け取るが、それが実はなりすましの犯人でそのままカードを使って……というのがカード犯罪の始まりじゃ。
釣上 犯罪ではあるけど、なんだか牧歌的ですね。
師範 それ以降、VISAやマスターカードなどの国際ブランドと犯罪者の戦いがずっと続いとる。特に大問題になったのがスキミング。クレジットカードの磁気ストライプに記録された決済情報を抜き出してクローンカードを複製する手口で、1980年代から2000年代までカード犯罪の主流じゃった。
それを防ぐためにいまのカードにはICチップが使われとる。これは情報を読み取ろうとすると自らデータを破壊するというすぐれもので、この普及によりスキミング被害はかなり減ったんじゃ。
釣上 確かに海外はともかく、日本ではスキミングの話題は最近ほとんど聞きませんね。
師範 まあスキミングが減った理由のひとつはICチップの普及じゃが、もうひとつの大きな理由に、ネットショッピングが増えてリアルカード自体が不要になってきたから、というのがある。その代わりに激増したのが、おぬしも心配しとるフィッシング詐欺じゃ。
釣上 本当にここ何年かでカード会社や銀行、通販サイトからの怪しいメールがものすごく増えて困ってます。
師範 以前はその手の詐欺メールは日本語がおかしかったりしてすぐに偽メールだと見分けられたが、最近はだいぶ日本語も上手くなり、メールの体裁も本物とほぼ同じで、簡単に見分けられなくなってきた。
また、少し前まで「URLの最初がhttpでなくhttpsのサイトは安全」「アドレスバーに鍵アイコンが付いていれば安全」と言われていたが、最近は詐欺グループもこれに対応。必ずしも安全とは言えぬ状況になってきとる。
釣上 でもそれだと本物のメールがきたときに困ります。
師範 だから極言すれば、見分けるのは諦めたほうがよい。では例えば「アカウントを停止した」というカード会社からのメールが本物に見える場合はどうするか? ということでカード不正利用防衛策のその1は「メールに貼られたリンクを絶対にクリックしない」。
つまり、カード会社や通販サイトへのアクセスは別の方法で行うんじゃ。最低でも当該サイトのURLを検索し、そこからアクセスする。より安全なのは、自分が利用するカード会社や銀行、通販サイトは普段からブックマーク登録しておき、常にそのブックマークからアクセスすることじゃ。
釣上 なるほど、それなら偽サイトに誘導されるリスクはありませんね。
師範 また、フィッシング詐欺に限らず、カードの不正利用を防ぐためにはパスワードの管理が重要。複数サイトでのパスワードの使い回しをやめることと、生年月日など容易に推測できるパスワードにしないことは基本中の基本じゃが、かと言って、すべてのパスワードを複雑かつ重複なしに手動で設定・管理するのは大変じゃ。
そこでぜひ利用すべきなのがパスワード管理アプリ。複雑なパスワードを自動設定してくれるうえ、パソコンのパスコードを入力したりスマホの顔認証や指紋認証を行うことで、ユーザIDやパスワードの入力を自動化できる。古いバージョンのブラウザを使っているならそれを最新バージョンにアップデートし、スマホを生体認証対応のものに替えるのがよかろう。
釣上 私もiPhoneを使っていますが、確かにいろんな通販サイトにログインするとき顔認証で簡単に入れるので便利だなあと思ってました。
師範 ちなみに、カードの不正利用はフィッシング詐欺のほか、通販サイトから流出した顧客データからも行われる。そこで次の段階で不正利用を防ぐのに有効なのが、二段階認証じゃ。特に3Dセキュア2.0はワンタイムパスワードなどを利用することで、ユーザIDとパスワードのほかにユーザーが使っているスマホがないと決済を完了できなくする。ということで、防衛策その2は「ネット通販での決済にスマホを絡めた二段階認証の設定を行う」じゃ。
釣上 はあ〜、そうなんだ! これまで二段階認証って面倒くさそうで設定をサボっていたけど、早速その考えを改めます。
師範 ここまでやってそれでも不正利用の被害に遭ったら、あとは一刻も早く不正を見つけるほかない。つまり「クレジットカードの利用明細はこまめに確認する」が防衛策その3。クレジットカードの多くは専用アプリを入れておくとカード利用後すぐにその通知が行くから、不正利用があってもすぐにわかる。それに加えて毎月の利用明細をいま一度チェックすることも重要。
ちなみに、先ほど通販サイトの顧客データ流出の話をしたが、SNSやニュースで自分が登録しているサービスのデータ流出情報を見つけたらすぐにユーザIDとパスワードを変更せよ。少なくともパスワードは一刻も早く変えたほうが良い。
釣上 なるほど〜。不正利用は確かに怖いけど、師範から防衛策を色々聞けて、やるべきことが整理できた気がします。
師範 コロナ禍でネット通販の利用が増えたこともあり、フィッシング被害はますます増加。2021年には国内での被害額は過去最高の約330億円となった。不正利用なんて他人事とのんびり構えるより、おぬしのように多少心配しすぎるくらいの意識を持つほうが、いまは良いのかもしれんな。
【もっと詳しくなるためのキーワード解説】
AIを使った不正検知システム
不正検知システムとは、クレジットカードなどによる商品購入時に、それが不正利用である可能性をチェックするシステムのこと。クレジットカード会社、通販サイト(加盟店)双方がこのシステムを利用し、住所や電話番号、メールアドレスなどのユーザー情報を確認するのはもちろん、最近はAIが購入者の過去の取引データなどをもとに購入者のふるまいを分析。
いつもと傾向の違う商品を大量に購入していたり、ふだん買い物しない時間帯に商品を購入したりしていると怪しいと判断し、商品を出荷停止にします。機械学習導入によりAIが不正をより早く検知できるようになり、通販サイト(加盟店)側も従業員が24時間体制で監視する必要がないなど、より低コストで被害を防げるようになってきました。
httpsのサイト
「https」とは「Hypertext Transfer Protocol Secure」の略。URLの冒頭が「http」で始まるサイトがデータの送信を平文で行なっているのに対し、「https」はSSL/TLSプロトコルを利用した暗号化通信が行われています。データが暗号化されているため、第三者には内容が解読できないのが特徴ですが、実はフィッシングサイト自体がSSLサーバー証明書を取得することも可能。
現在SSLサーバー証明書が低コストで取得できることもあり、詐欺グループは“本家”のサイトに酷似した文字列のドメイン名を取得し、本物そっくりなフィッシングサイトを作っている場合があります。さらにSSL化の証明である鍵アイコンが付いていることも多く、「鍵アイコンがあるから安全」とは言えない状況になっています。
二段階認証/3Dセキュア2.0
「二段階認証」とはウェブサイトへのログイン時に、ユーザIDとパスワードのほかにもうひとつ追加認証を行うこと。本人認証の過程を増やすことでセキュリティを高めます。特に2つの認証方法が「パスワード」と「スマホを使った認証」などタイプの異なるものだと、「ネット上でパスワードを盗む」「本人のスマホを物理的に盗む」という次元の異なる2つの行為が必要となるため、セキュリティ性がより高まります。
こうしたタイプの異なる認証方法が追加されたのが「3Dセキュア2.0」で、生体認証やワンタイムパスワード、QRコードスキャンによる認証ができるようになりました。「3Dセキュア2.0」はVISA、Mastercard、JCB、American Express、Diners Clubという主要世界ブランドがすべて採用しています。
カード不正利用防衛策3か条
その1 メールに貼られたリンクを絶対にクリックしない!
その2 ネット通販での決済にスマホを絡めた二段階認証の設定を行う
その3 クレジットカードの利用明細はこまめに確認する
構成/佐伯尚子 文/平島憲一郎 監修/岩田昭男