クレジットカード(以下、クレカ)の不正利用が急増している。日本クレジット協会によると、2021年の不正利用額は前年比30.5%増の330億円で、21年ぶりに過去最悪を更新した。月内にも発表される22年の不正利用額はさらに拡大し、カード業界からは「年400億円を超えるのは確実」との見方が上がる。不正利用急増の背景は何か。手口はどう変わっているのか。私たちが取れる自衛策とはー。(時事ドットコム編集部 稲田日出男)
被害額「500円」
都内の会社に勤める女性はある日、スマートフォンでクレカの利用明細を眺めていて、違和感を覚えた。そこには世界的なECサイトの名前が記載され、利用額は「500円」となっていた。最近買い物をした記憶はない。「何の代金だろう?」。
女性は疑問を感じたが、この時はそのままスマホを閉じた。その後も「500円」について時折思い出したが、金額も大きくないため、確認を先延ばしに。数週間後、もう一度利用明細を眺めたところ、過去5カ月間、同じ「500円」が引き落としされていることに気付いた。やっぱり変だ。
ECサイトとカード会社に問い合わせてみると、「不正利用の可能性が高い」。オペレーターは即座にこう指摘した。その後不正利用が判明し、90日分(3カ月分)の支払いが免除されたものの、残り2カ月分の負担を求められ、クレカの更新も余儀なくされた。「2カ月分だから1000円。金額は大きくないが、思い出すと不快な気持ちになる」。女性はその後、毎月の明細を確認している。だが、何が不正利用のきっかけだったのか、今も分からないままだ。
20年前は偽造カード全盛
日本にクレカが誕生して60年余。国内での発行枚数は今や3億枚超(22年度末)に及ぶ。日本クレジット協会によると、不正利用はこれまで、2000年の308億7000万円が過去最高だった。当時の手口の大半は偽造カードの作成や複製。クレカを実際に盗んだり、実店舗などで磁気データを抜き取ったりして偽造カードが作られ、高額製品などを購入された。
クレカ業界は、簡単に情報を抜き取ることができないIC チップを埋め込んだカードへの切り替えなどで対抗。これにより不正は減少に転じ、12年には68億1000万円まで低下した。しかし、14年は114億円と5年ぶりに100億円台に戻り、17年に200億円超、21年は再び300億円台と過去最悪を塗り替え、勢いは衰えを見せていない。
一度は低下した不正利用が再び息を吹き返したのは、「番号盗用」の手口が巧妙化・高度化しているためだ。クレカ不正利用のきっかけは、▽盗難紛失▽偽造▽番号盗用-の三つに大別される、20年前のピーク時は、偽造カードの作成・複製が大半だった。それが現在は番号盗用が主流となり、不正利用による被害額の9割を占めている。
番号盗用の手口をさらに見ると、①フィッシング②クレジットマスター③不正アクセス-の三つに分類される。
フィッシングとは、実在するカード会社やインターネットプロバイダーなどを装って、メールや携帯電話番号にショートメッセージサービス(SMS)を送信し、偽サイトに誘導する手口。偽サイトに誘導した後は、クレカのIDやパスワードなどをカード保有者自身に入力させ、盗み取ってしまう。
クレジットマスターとは、10年ほど前からあった手口。コンピュータのプログラムを使って、カード番号や有効期限、セキュリティコードを自動で作成し、取引できるかどうか繰り返しシステムにアタックし、組み合わせを特定してしまう手法。
「不注意と言うのは酷」
ここ数年は特にフィッシングとクレジットマスターの巧妙化・高度化が顕著で、特に被害が多いのがフィッシング。その手口はさまざまで、宅配の不在通知を装ったり、携帯電話の料金を確認するよう促したりするSMSやメール。見慣れたECサイトや銀行名をかたり、支払い方法・お客様情報などを確認するよう求める内容や、物品購入の際、カード番号を入力するサイトだけが偽サイトに飛ぶといった手口もある。
以前は、不自然な日本語が使われていることもあり、偽物と見分けることもできた。しかし、今は流ちょうな日本語が使われるなど、すぐに見分けは付かない。大手カード会社幹部は、「利用者の不注意を指摘するのは酷なほど、手口は悪質で巧妙化している」と語る。
クレジットマスターはかつて、専門的な知識と大掛かりなシステムが必要だったが、今ではパソコンの能力も上がるなど、“参入障壁”が低くなったという。「組み合わせを当てる“打率”だけでなく、専門性がなくても参入できる“打数”も上がった」(大手カード会社幹部)ため、クレジットマスターによる被害も増えたとみられている。
番号盗用の三つ目の手口、不正アクセスは、加盟店や決済代行会社のコンピュータにサイバー攻撃を仕掛け、カード番号やセキュリティコードなどの情報を盗み取るというもの。加盟店が顧客情報を持たない「非保持化」を進めるなど、対策は強化されているが、顧客情報の漏洩被害は続いている。
AI導入でスピード検知
21年のクレカ利用額は10年前のほぼ2倍に相当する81兆円に達した。しかし、不正利用額はこの伸びを大きく上回る約4.2倍で推移しており、番号盗用がいかに横行しているかが分かる。
クレカ業界は対策を強化。クレカに記載されていない別のパスワードを使用して決済する方法や、利用者のスマートフォンなどに時間限定のパスワードを送るなど、本人認証の段階を増やす手法の導入が広がっている。
三菱UFJニコスは2月、不正検知システムにAI(人工知能)を導入することを決め、取り扱いを開始した。日々変化する不正利用の手口を迅速に、自動で学習するのが特長。最新の番号盗用の手口を最短26時間程度で学習し、類似の被害を検知するモデルを構築した。「従来は見分けることのできなかった不正利用を高い精度で検知できると期待している」(瀬脇計志理事、オーソリ統括部長)。
JCBも昨年10月、従来カード発行会社や加盟店との間で、判明した不正取引情報をクラウド上で共有・連携するサービスの本格運用をスタート。従来に比べ、迅速な対応が可能になり、被害の広がりを抑える効果を見込んでいる。
偽サイトの見分け方
不正利用の方法も従来と大きく変わり、紹介した女性のような「小口、大量化」の被害が目立つ。カード番号当たりの被害は低額化する半面、広範囲に及ぶのがトレンドだ。クレジットマスターによる不正では1日に数万件単位で取り引きが集中した例もあるという。1件当たりの被害が少額だと、被害に気付きにくく、不正発覚までに時間がかかってしまう。
巧妙化し増加するクレカ不正利用の被害。私たちはどう身を守ればよいのだろう。日本クレジット協会の消費者・広報部、竹内伸介氏は、クレジット会社やネットショッピング等各サイトの会員ページへログインする際、IDやパスワードを使い回ししないなどの基本に加え、①メールやSMS内にあるURLリンクはクリックしない、②あらかじめブラウザーの「お気に入り」に登録した企業の公式サイトや公式アプリを利用するようアドバイスする。
また、偽ECサイトの見分け方についても、商品の金額が異常に安かったり、契約を急がせたりするサイト、人気があり品不足のはずの商品の品ぞろえが異常によいサイトは要注意だと指摘。そして「最終的な防波堤」は、利用明細の確認だとし、「不正利用に早く気付けば、クレカ利用を止めるなどの手を打つことができ、最終的には犯罪組織等に金員がわたることを防ぐことにもなる」と話している。
 (1).jpg){kind=small}
