クレジットカード詐欺の被害が後を絶ちません。最近では、イオンカードで大量の不正利用が発生し、その対応の遅れが問題となりました。特に、「カードを停止しても不正利用が続く」というSNSでの報告は、大きな衝撃を与えました。一体なぜこのようなことが起こるのでしょうか?
今回は、クレジットカード詐欺の最新事情と、カード会社による補償の範囲について、クレジットカード事情に精通したマネーライターの松岡賢治氏に詳しく解説していただきます。
ランダムな番号で総当たり攻撃!最近のクレジットカード詐欺の実態とは?
かつてのクレジットカード詐欺は、飲食店などでカード情報をコピーされたり、暗証番号を盗み見られるといった手口が主流でした。その後、フィッシング詐欺が横行するようになり、「カードのご利用が制限されました」といった緊急性を装ったメールで偽サイトに誘導し、個人情報を盗み取るというケースが増加しました。
しかし、松岡氏によると、最近の主流は、大規模な組織が実在するクレジットカード番号をランダムに探し当てていく「無差別攻撃型」なのだそうです。
「クレジットカードの16桁の番号には、実は規則性があります。最初の6桁はカード会社ごとにほぼ決まっており、残りの10桁を組み合わせて無作為にアクセスしていくと、数百万回、数千万回と試行していくうちに、実在する番号にヒットすることがあります。その番号を元に、スマートフォンに登録できるバーチャルカードを偽造し、同様に4桁の暗証番号を割り出せば、不正利用が可能になるのです。」
クレジットカードのイメージ
クレジットカードの紛失や盗難、フィッシング詐欺の被害などは、利用者側の不注意が原因となる場合もありますが、無差別攻撃型のクレジットカード詐欺は、まさに「運が悪かった」としか言いようがありません。
なぜ?カードを停止しても不正利用が続く理由
今回のイオンカードの事件で、特に注目すべき点は、「カードを停止しても不正利用が続いた」という点です。不正利用に気づいてカードを停止すれば、被害はそこでストップするはずですが、なぜこのようなことが起こるのでしょうか?
松岡氏は、iPhoneのApple Payでタッチ決済を利用しているユーザーに被害が集中しているという点に着目し、次のように推測しています。
「Apple Payでは、クレジットカード決済以外にiDやQUICPayなどの電子マネー決済も利用できます。これらの電子マネー決済の場合、少額決済ではオフライン、つまり認証を取らずに決済が完了してしまうケースが一般的です。本来、クレジットカードの国際基準では、サーバーに認証を取らないと決済はできません。しかし、日本の電子マネー決済は、Suicaのようにオフラインで決済が完了する方式が主流であったため、そこにセキュリティ上の盲点があったと考えられます。」
つまり、スマートフォンとレジの間だけで決済が完了してしまうという電子マネー決済の仕組みの隙を突かれてしまった可能性があるのです。
まとめ
クレジットカード詐欺の手口は巧妙化しており、私たち利用者は常に最新の情報に注意を払う必要があります。今回のイオンカードのケースは、決して他人事ではありません。今一度、自身のクレジットカードの利用状況を見直し、セキュリティ対策を強化していくことが重要です。
