Sony
Sony
クレジットカード情報の不正利用高止まり、「スマホ決済」悪用急増――ユーザーにできる対策は?

ニュース 2019.02.22 クレジットカード情報の不正利用高止まり、「スマホ決済」悪用急増――ユーザーにできる対策は?

 2017年に跳ね上がったクレジットカードの不正利用被害が高止まりしている。スマホ決済サービスの台頭で、店頭で不正利用される被害も相次いでいる。不正利用の監視体制や補償も行き届いているが、面倒には巻き込まれないのが一番だ。ユーザーにできる対策を知っておこう。

クレジットカード番号盗用による被害は131.8億円

 日本クレジットカード協会がまとめた2018年1月から9月までのクレジットカードの番号盗用による被害は131.8億円(前年同期130.3億円)と、増加傾向にある。2017年に前年の1.7倍に被害額が跳ね上がって以来の高止まりで、不正利用被害全体の約8割を番号盗用による被害が占めている。その背景には、ネット通販の利用者拡大と相次ぐ情報流出、詐欺サイトやフィッシングなどが考えられる。

▼クレジットカード番号盗用被害額推移(単位:億円)

クレジットカード番号盗用被害額推移(単位:億円)

出典:クレジットカード不正利用被害の集計結果について[PDF](日本クレジット協会)
https://www.j-credit.or.jp/download/news20181228b.pdf

「通販サイト」からの流出――偽の決済画面を仕掛けるケースも

 ネット通販では、攻撃を受けてサイトに保存されていたクレカ情報が流出する事例が多いが、最近は、サイトが改ざんされ偽の決済画面に移動する仕掛けが埋め込まれる事例が見られるようになった。下記は不正アクセスによる情報流出の事例を紹介した記事だが、両方のケースを紹介している。

・不正アクセスによる情報流出相次ぐ――クレジットカードの不正利用被害も発生
https://securitynews.so-net.ne.jp/news/sec_00006.html

対策:「身に覚えのない請求」の早期発見に注力を

 どちらのケースでもユーザー側での対策は難しいので、カード会社の明細を必ず確認し、身に覚えのない請求の早期発見に努めたい。見つかった場合には、速やかにカード会社に連絡し指示を仰ごう。

対策:「身に覚えのない請求」の早期発見に注力を

 なお、下記の記事では「不正利用に気づいたときの対処方法」として「警察に被害届を出しましょう」と書かれているが、このようなケースでは、利用者に被害が及んでいないため、被害届を出すことはできない(情報提供は可能)。早まったことはせず、カード会社の指示に従い、落ち着いて行動していただきたい。

・クレジットカードの番号を悪用されないためには?ネット通販利用時の注意点
https://securitynews.so-net.ne.jp/topics/sec_10011_safe-net-shopping.html

 流出したとの連絡を受けた場合も同様、身に覚えのない請求の確認に注力していただきたい。慌てなくても、通販会社やカード会社が万全の態勢で対処し、不正利用の全額補償と、必要があれば無償でカードを再発行してくれる。

「詐欺サイト」からの流出――“安さ”で引っ張る手口に注意

 通販サイトになりすまして、クレジットカード情報を騙し取る詐欺サイトがある。多くの場合、検索サイトで商品を検索し、安さにつられて購入しようとすると、この手のクレカ情報を騙し取る詐欺サイトや、代金を騙し取る詐欺サイトにおびき寄せられてしまうので注意したい。通販系には、いろいろなタイプの詐欺サイトがあるが、大筋は同じだ。

対策:サイトの“怪しさ”を見抜くポイント

 詐欺サイトを見抜く方法としては、次の記事の「トラブルにあわないためのチェックポイント」が参考になるだろう。「チェックポイント1」に記載されている「サイト内の情報を確認する」だけでも、販売サイトとしての怪しさをチェックできるはずだ。

・「商品が届かない」「偽物が届いた」――冬季に多発する悪質通販サイトに注意
https://securitynews.so-net.ne.jp/news/sec_20003.html

「フィッシング」による流出――偽会員サイトや大手サービス成りすまし

 クレジットカード会社を装い、偽の会員サイトに誘導してクレカ情報などを騙し取るフィッシングが、2016年ごろから急増した。昨年はさらに急増し、前年の3倍以上に膨れ上がった。昨年とくに多かったのが、楽天カード、クレディセゾン、三菱UFJニコスのフィッシングだ。「不正ログインされた可能性があるのでパスワードをリセットしたから再設定するように」と求め、カード情報などを再登録させる手口がよく使われた。

 これらをはるかに上回る勢いで増殖したのが、クレジットカードを利用するサービスに成りすましたフィッシングだ。支払い情報の更新や本人確認などと称して、クレジットカードを求める手口がよく使われ、アマゾン、アップル、ヤフーが頻繁に狙われた。

「フィッシング」による流出――偽会員サイトや大手サービス成りすまし

対策:ありえない「クレカ情報入力」要求に従わない

 これらのサービスでは、商品や有料サービスなどの購入時にクレカ情報を入力するのが基本だ。サービス側からユーザーにクレカ情報を求めるようなことはないので、騙されないよう注意したい。ログインやクレカ情報を求めるメールが届いたら、サポート窓口に問い合わせるか、公式サイトで確認することをおすすめする。

悪用される「スマホ決済」――店頭での不正購入相次ぐ

 盗まれたクレカ情報は、犯罪者自身やクレカ情報の転売先で支払いに不正利用されることになる。不正利用の手口として昨年から相次いでいるのが、「スマホ決済」の悪用だ。クレカ情報は、そのままではオンラインなどの非対面の決済でしか利用できないが、スマートフォンをカード代わりに使えるスマホ決済に登録することで、店頭でも利用できるようになる。

「スマホ決済」悪用で逮捕:店頭でポータブルHDDを騙し取る

 愛知県警は2月12日、不正に入手した他人名義のクレカ情報をスマホ決済サービスに登録し、同サービスのバーコード画像を表示して店員に読み取らせ、ポータブルハードディスクを騙し取ったとして、名古屋市内の男2人を逮捕したと発表した。悪用されたのは、ヤフーが昨年6月に始めた「Yahoo!ウォレット」や「Yahoo!マネー」を使ったスマホ決済サービス「ヤフーアプリ支払い」だという。

後継の「PayPay」でも不正利用:家電量販店などで数万~数十万円の買い物

 この「ヤフーアプリ支払い」は昨年11月、「PayPay」に受け継がれる形で終了。翌12月には、後継の「PayPay」でクレカの不正利用が相次ぎ問題となった。何らかの方法で入手したカード情報を勝手にアプリに登録し、使用したとみられる。対応するコンビニや家電量販店で数万から数十万円の買い物をされたという報告が相次ぎ、PayPayはその後、後述する「3Dセキュア」への対応や利用額の制限などの対策を打ち出している。

NTTドコモ「iD」でも不正利用:家電量販店などで数万~数十万円使い込み

 今月17日から19日にかけて行われた三井住友カードのフィッシングでは、NTTドコモのスマホ決済「iD」が悪用されたとみられる不正購入が報告されている。昨年のPayPayと同様、コンビニや家電量販店で数万から数十万円単位で使い込まれたという。

・スマホアプリ決済でクレカ不正使用相次ぐ――PayPay利用に限らず被害発生
https://securitynews.so-net.ne.jp/news/sec_00015.html
・「三井住友カード」を名乗る不審なメールにご注意ください
https://www.smbc-card.com/mem/cardinfo/cardinfo4010230.jsp
・クレジットカードご利用時の上限金額について(2019年2月12日時点)PayPay
https://www.paypay-corp.co.jp/notice/20190215/01/

対策としての「3Dセキュア」――ワンタイムPWの採用も進展

 「3Dセキュア」とは、Visaが「VISA認証サービス」、Mastercardが「Mastercard SecureCode」、JCBが「J/Secure」、American Expressが「American Express SafeKey」と呼んでいるもので、カード利用時に各カード会社のサイトでパスワード認証を行い、カードの持ち主本人であることを確認する。

 プラスチックのカードで支払う際のサインや暗証番号に相当する、オンライン用の本人確認手段だ。必須というわけではなく、アマゾンや楽天市場のように、大手でも未対応のところは多いものの、対応サービスはパスワードがないと利用できなくなるので、安全性はそれなりに向上する。スマホ決済も同様で、パスワードがないクレジットカードは登録できない(「PayPay」は利用額が5000円に制限される)。

▼3Dセキュアのパスワードを詐取するアマゾンのフィッシングサイト(左)、60秒で無効になるワンタイムパスワードを自動生成するアプリ(右)

3Dセキュアのパスワードを詐取するアマゾンのフィッシングサイト(左)、60秒で無効になるワンタイムパスワードを自動生成するアプリ(右)

 詐欺サイトやフィッシングの中には、この3Dセキュアのパスワードまで詐取するところが数多くある。その対抗策として3Dセキュアにもワンタイムパスワードの採用が進められている。American Expressはメールで届き、三井住友カードやJCBなどはアプリで生成する方式だ。ワンタイムパスワードは、詐取されても短時間で無効になるので、より高い安全性が期待できる。

TEXT:現代フォーラム/鈴木直美

あなたの大切なパソコン・スマホを守ります!
世界が認める総合ウイルス対策ソフト

カスペルスキー

この記事を気にいったらいいね!しよう

セキュリティ通信の最新の話題をお届けします。

ページトップ