クレジットカード不正利用は過去最大に 被害は補償される?気づいたときの調査方法は?
キャッシュレス決済があらゆるところで進むなか、クレジットカードでさまざまな代金や料金を支払っている人は多いことでしょう。
クレジットカードは買い物だけでなく公共料金や税金の納付にも使えるようになり、多くの手間を省いてくれる便利な道具です。
しかしその分、不正利用も増えています。
クレジットの不正利用はなぜ起きるのか、どう対策すれば良いかといったこととあわせ、不正利用された場合の補償や調査方法についてご紹介していきます。
クレカ不正利用被害の発生状況
日本クレジット協会によると、2023年のクレジットカード不正利用被害額は約540億円で、2014年に比べて4.7倍に増加しています。*1
特に「番号盗用」による被害が増えており、被害額全体の9割以上を占めています。
「偽造」による被害は、2016年に20%を超えていたもののその後急減し、2021年以降は全体の1%にも満たない手口になっています。
番号を盗んで不正利用をするケースが増えた背景には、オンライン決済の普及があると考えられます。
一昔前はカードそのものを店頭で提出しなければ買い物はできませんでした。
しかし今は、オンラインでカードの番号と期限、セキュリティコードを入力すれば現物を持ち歩かなくても決済が可能な時代です。
カード番号を盗む大きな手段は「フィッシング詐欺」
カードそのものを店頭で出して決済する以外に、ネット上でカード番号を入力して決済する方法も多く利用されるようになった時代に合わせて、犯罪者もオンラインシステム、つまりインターネットを悪用してカード情報を盗むさまざまな手口を考えています。
不正利用を目的に個人のカード情報を盗む手段として、近年最も気を付けるべきものは「フィッシング詐欺」です。
カード会社や銀行、ショッピングサイトなど実在する企業を名乗った偽メールやSMSを送り、偽のWebサイトに誘い込んでカード情報を抜き出すというものです。
みなさんのところにも、実在する企業を名乗った怪しいメールが、特に最近はSMSの形で届くことが多いのではないでしょうか。筆者のところにもよく届きます。
日本語が不自然なものもあり、そうであれば怪しいと気づくこともできるでしょうが、最近は言葉が流暢なものもあります。
また、「期日までに支払いがなければサービスを停止する」といった脅し文句をつけることでメールの受信者を焦らせ、リンクをクリックあるいはタップさせるというのが常套手段になっています。
こうしたフィッシングサイトのURLは常に作られ続け、増加傾向にあります。
フィッシングサイトURL数の推移
(出所:フィッシング対策協議会「2024/06フィッシング報告状況」
また、誘導先のサイトも巧妙に作られるようになりました。
筆者はいちど、日本郵便を名乗ったフィッシング詐欺のリンク先を覗いてみたことがあります。
スマホにSMSで届いたメッセージに貼られているURLの文字列はいかにも偽物でしたが、その先どのようにして情報入力をさせるのだろう、という興味本位です(URLをクリックするだけでウイルスに感染することもあるため絶対に真似はしないでください)。
すると驚いたことに、リンク先は実際の日本郵便のサイトと瓜二つのものでした。というよりもほぼ同じデザイン、レイアウトです。スクリーンショットを悪用したのかもしれないな、と思いました。
確かに本物のホームページを真似た見た目のものを作ることなど、いくらでもできる時代です。
ここから何らかの形で支払いに関するサイトに誘導し、カード情報を入力させるのでしょう。ここまで酷似したサイトであれば、さらに信用度を上げてしまいそうです。
携帯電話の番号は日本の場合11桁です。しかし「090」や「080」などを除けば実質8個の数字をランダムに並べれば良いだけです。アルファベットで構成され、文字数の決まりもないeメールよりも自動攻撃には向いていることでしょう。これもSMSでの詐欺が増えている要因だと筆者は考えます。
巧妙化するフィッシング詐欺とその見分け方
フィッシング詐欺に使われるメールやSMSの特徴のひとつは、差出人のアドレスや記載されているサイトのURLを本物に似せて作っていることです。似たアルファベットや数字を使っていることもあります。「o(小文字)」と「O(大文字)」「0(数字のゼロ)」などです。
フィッシング詐欺に使われやすいアルファベットと数字
(出所:日本クレジット協会「フィッシング詐欺被害に遭わないための注意事項」
まずは送り手のメールアドレスや、リンク先のURLの文字列をしっかり確認してみてください。以下のような部分です。
(出所:日本クレジット協会「フィッシング詐欺被害に遭わないための注意事項」
本物の企業の名前の後ろに「.(ドット)」をつけた上で少し文字列を足して本物に見せかけているものも多くあります。
そして、不安をあおる言葉も使われます。
フィッシング詐欺に使われるメールやSMSの文面の一例
(出所:日本クレジット協会「フィッシング詐欺被害に遭わないための注意事項」
「不正アクセス」のような事態を警告されるような文面を見ると一瞬焦ってしまうかもしれません。
しかしこういうときこそ、メールやSMSに返信するのではなくカード会社に電話して確認しましょう(メールやSMSに記載された電話番号は偽の番号の可能性もあるため、必ずインターネットなどで正規の電話番号を調べてください)。
また、不自然な日本語が使われているメールやSMSは最近でもよく見られますが、全てのフィッシング詐欺がそうであるとは言い切れません。
近年のビジネスメール詐欺では、実在する取引先からの「返信」のように装い、メールの内容も本物の一部をそのまま引用する「Emotet(エモテット)と呼ばれるサイバー攻撃が確認されています。*2
さらに今は、生成AIで手軽に自然な文章を生み出せる時代です。文章がなにかおかしい、ということだけが見分け方ではなくなっていくことでしょう。
不正利用された時の調査方法は?補償はされる?
では、不正利用に気づいた時、それを調べる手段はあるでしょうか。
不正利用かどうか調べるためにはまず明細を
基本的には「身に覚えのある取引かどうか」ということです。
そのためにまず、取引明細を必ず確認しましょう。
ただ注意しなければならない点があります。家族カードであれば家族が利用した場合もありますし、また、店舗名と引き落とし会社の名前が異なるケースもあります。
利用日時、金額、利用した店舗の名前を確認し、それでも明らかにおかしい利用があれば、速やかにカード会社に連絡をし(電話が良いでしょう)、不正が疑われる取引の日時や金額などを伝えてください。カードに記載されている電話番号のみが信じられる、とも言えます。
不正利用の場合、補償はされる?
不正利用の連絡を受けたカード会社は調査を開始し、不正利用であることが確認されれば、基本的にはその被害を補償してくれます。
カード番号が盗まれる手段は個人への攻撃だけでなく、ネットショップがサイバー攻撃を受けて顧客情報をまるごと抜かれてしまうこともあり、個人では防ぎきれない側面もあります。
しかしカード会社は、カードの利用状況を監視し不自然な取引の検知に力を入れているほか、犯罪に使われた銀行口座や、詐欺の舞台あるいはカード情報漏洩のきっかけとなったネットショップなどに関する最新の情報を持っています。
場合によっては、不正利用につながる前に、当該店舗などでカードを使ったかどうか、カード会社から連絡が来ることもあります。
また、補償内容などはカード会社によって約款が異なりますので、詳細については契約時の約款を確認しておきましょう。
不正利用の防止策
カードの不正利用について、ここまではおもにフィッシング詐欺についてご紹介してきました。
クレジットカード決済がオンライン上で簡単にできればできるようになるほど、犯罪者もオンラインの隙をついてくるものです。
よって、カードを便利に使い続けるためにとっておきたい対策としては、以下のようなものがあります。
・明細はチェックできるようにしておくこと
・知らない連絡先からのSMSは疑ってかかること
・最終手段は電話、というアナログの力も利用すること
・公式サイトやアプリ以外の場所で安易にカード番号を入力しないこと
・2段階認証、ワンタイムパスワードや「3Dセキュア」※を使うこと
※3Dセキュア=事前登録で使える、カードを持つ本人しか知らない形での認証方法
また、生体認証も有効な手段になり得るでしょう。番号だけで誰でもどこからでもカードを使える、といった状態にしておかないことも大切です。
本コラム執筆時点における情報に基づいて作成しておりますので、最新情報との乖離にご注意ください。
*1 日本クレジット協会「クレジットカード不正利用の発生状況」
*2 情報処理推進機構「Emotet(エモテット)攻撃の手口」
