カード会社が教えるクレジットカードのセキュリティ

第1回:キャッシュレス決済の拡大とともに増える、フィッシング詐欺などによるカード不正利用問題

この連載について
INTERNET Watchではフィッシング詐欺をはじめとしたネット詐欺の手口や対策を紹介していますが、そうしたネット詐欺によるクレジットカード情報の窃取、そしてカードの不正利用により、多額の金銭的被害が生まれます。

ここでは短期集中連載として、カード会社の視点から、不正利用の実態、およびその対策、カード会社が実施しているセキュリティ向上の取り組みなどを、アメリカン・エキスプレス フロード リスク マネジメントの朝比奈孝弘氏に紹介していただきます。

 インバウンド消費の取り込み、タッチ決済機能を搭載したスマートフォンの登場、ECサイトの増加などさまざまな理由によってキャッシュレス決済の需要は年々高まっています。2023年には日本でもキャッシュレス決済の比率が39.3%に達し、中でもクレジットカードでの決済額は105.7兆円にも上るなど、それ以降も引き続き拡大傾向が見込まれています。

 しかし、こうした利用の拡大と同時に問題になるのが、クレジットカードの不正利用です。あまり知られていないかもしれませんが、クレジットカードの不正使用の主な原因の1つが、フィッシング詐欺です。フィッシング詐欺によって、クレジットカード情報を含む個人情報が抜き取られ、犯罪目的の支払いなどに利用されてしまうケースが増えています。

 クレジットカード会社ではこのような不正利用を撲滅するため、長年にわたってさまざまな取り組みを進めてきました。本連載では、急増する不正利用の実態を解説し、被害を未然に防いだり、最小限に抑えたりするためのヒントを紹介します。

クレジットカードの不正利用の90%以上は番号の盗用

 少し前まで店頭での小口決済はQRコード決済に押され気味でしたが、タッチ決済の登場によってコンビニなどでの日常的なお買い物にもクレジットカードを利用するユーザーが増えています。また、物理的なクレジットカードだけでなく、スマートフォンなどのアプリからクレジットカード決済を利用するケースも多くなっています。

 しかし、こうしたキャッシュレス決済の拡大に伴い、クレジットカードの不正利用の被害も増加傾向にあります。2023年、日本国内でのクレジットカードの不正利用被害額は540.9億円と過去最高額を記録しました。

2016〜2023年における、キャッシュレス決済が行われた金額(棒グラフ)と、不正利用被害額(折れ線グラフ)。キャッシュレス決済額は右肩上がりに伸び、不正利用被害額もおおむね右肩上がりとなっている

 2023年のクレジットカード不正利用全体のうち、不正に入手したカード番号が使われる「番号の盗用」は93.3%と圧倒的多数を占めており、被害額は504億を超えています。これはECサイトなど「非対面 (オンライン)」での消費が増加したことも原因と考えられます。クレジットカードの利用場面の拡大に合わせ、不正利用のリスクも増加したといえるでしょう。

 特にユーザーに対するフィッシング詐欺が目立って増加しており、2023年に報告されたフィッシング詐欺の件数は過去最高を記録しています。そのほかにも、ECサイトなどへのサイバー攻撃によって、クレジットカードの情報を不正に入手するという手口も報告されています。もちろん従来からあるクレジットカードの紛失や盗難による不正利用の手口がなくなったわけではありません。

2023年に起きたクレジットカードの不正利用のうち93.3%が「番号の盗用」。キャッシュレス決済の普及に伴い、サイバー攻撃やフィッシングなどの非対面(オンライン)の手口が増加している

フィッシング詐欺は巧妙化しており相手を選ばない

 フィッシング詐欺の入り口となるのは、メールやショートメッセージ(SMS)です。金融業者、宅配業者、通販サイトを装ったメールを送信し、不正なURLをクリックさせる、あるいは添付ファイルからマルウェアに感染させるといった手口から、クレジットカードの情報を不正に入手しようとするのです。

 例えば、ある人が普段サービスを利用している会社の名前で支払いの督促メール(直近では電気や水道代に関する内容も増えています)を受け取ったとします。フィッシング詐欺とは気づかず、慌ててメールに記載してあるURL(偽物)を開き、個人情報やクレジットカード情報を求められるままに入力して支払いを完了しようとする裏側で、犯罪者たちは入力されたカード情報を盗んでいるのです。彼らは盗んだカード情報と個人情報を使って同時にほかのウェブサイトにアクセスし、不正な支払いを行います。

 また、偽サイトに誘導されてログインを求められる場合もあります。犯罪者たちはそこで盗んだログインIDとパスワードで真正なサイトにログインし、ポイントを不正交換したり、アカウント自体を乗っ取ってさらなる不正行為を行ったりもします。

カード情報の不正入手・使用手口のパターンを対面・非対面で分類。フィッシング詐欺は「非対面」の手口の一種

 特に日本人を狙うフィッシング詐欺は、組織化されて巧妙化する傾向にあります。以前は日本語として違和感のあるフィッシングメールも多く見受けられましたが、最近では金融機関や通販サイトで実際に使われているフォーマットをそのまま利用し、簡単には見分けがつかないほど精度の高いフィッシングメールが送られてくるケースも増えています。実はこれまでも、アメリカン・エキスプレスをかたるフィッシングメールが出回ったことがありました。本物のメールをコピーして作成したようで、メール本文だけでなくデザインも酷似していたため、見分けるのが困難です。

 こうしたフィッシング詐欺は、対象者を選ばずに発生しています。大量のメールを無作為に大勢の人に送り付け、そのうちの何人かがだまされることを期待するため、被害者は年齢層や職業が幅広く分布しています。ITリテラシーの低い高齢者層だけが被害に遭っているとは限りません。つまり、クレジットカードの利用が日常に浸透した現在、誰でも被害者になり得るということです。

フィッシング詐欺の手口のイメージ。犯罪者たちは不正入手した個人情報やカードを不正利用する

 また、クレジットカード情報を窃取する手口としては、SNSやオンラインゲームなどのアカウント乗っ取りによるものも増加しています。

「法人カード」は不正利用に気付きにくいことも?

 クレジットカードの紛失や盗難とは異なり、ふだんネットを利用していてクレジットカード情報が窃取されたことにすぐ気付くのは、非常に難しいことです。クレジットカードの利用明細を見て不正利用されたことに気付く、あるいはクレジットカード会社のモニタリングによって発覚することがほとんどです。つまり、実際に被害に遭う前に「クレジットカードを止める」といった対策は、情報窃取に気付けない以上、現実的には取れないということになります。

 また、クレジットカードには、個人カードだけでなく、企業が契約者となっている「法人カード」もあります。日本企業でも、交通費、出張費、接待費などの経費精算では経理業務を効率化するためにクレジットカードを利用するケースが増えています。

 法人カードの場合、カードの利用明細を見るのは経理担当者で、カードのユーザーまでは確認しない企業も少なくありません。ユーザー本人が利用明細を確認すれば「使った覚えのない記録」も発見しやすいのですが、同時期にたくさんの法人カードの明細を確認しなければならない経理担当者がそれを発見するのは難しいことです。例えば、アメリカン・エキスプレスだと公式アプリによる即時利用通知のサービスもありますので、そういった各社のサービスなども活用し、不正利用に気付ける環境を整えていただきたいと思います。

 この問題は家族カードでも発生しやすいと考えられます。例えば、離れて暮らしている家族に家族カードを渡している場合、法人カード同様に、ユーザー本人が直接利用明細を確認しない状況に陥ってしまうのです。

今後もクレジットカードを狙う犯罪は増加していくことが予想される

 キャッシュレス決済の需要は今後も拡大し続け、クレジットカードの利用場面も対面・非対面を問わず増加していくことは間違いないと言えます。当然、クレジットカードを不正に利用しようとする犯罪者も増えていくことが予想されます。

 オンラインでクレジットカードを利用しているユーザーはフィッシング詐欺などの手口を理解し、被害に遭わないよう普段から意識を持ってメールやアカウントを管理することが重要になります。「メールに記載されたURLを安易にクリックしない」「メールの発信元やURLを確認する習慣をつける」「メールに記載されたURLからアクセスせず、ブラウザーのブックマークを利用する」といった対策はもちろん、常に最新のセキュリティ対策ソフトを利用するべきでしょう。それでも完全に不正利用を防げるとは限らないため、クレジットカードの明細は毎月きちんと確認していただきたいものです。

 また、ユーザー側からすると見落としてしまいやすいですが、クレジットカード会社に登録している連絡先を常に最新の状態にしておくことも重要です。クレジットカード会社が不審な取引情報を検知した場合、ユーザーが登録しているメールアドレスやSMSなどに確認のメッセージを送信するため、重要な情報を見逃してしまうことになります。特に家族カードの場合、ユーザー本人 (カードを利用している家族) の連絡先を登録しておくよう注意しておきましょう。

推奨されるフィッシング詐欺の対応策は、URLを安易にクリックしない、セキュリティソフトを導入する、手口を理解する、など

 なお、クレジットカード会社や加盟店でも不正利用を防止するため、さまざまな対策を講じています。次回は安心してクレジットカードを利用してもらうためクレジットカード会社や加盟店がどのような対策を講じているかについて解説します。

朝比奈 孝弘(アメリカン・エキスプレス フロード リスク マネジメント)

1993年東京入社。承認課にてカード決済の現場に携わり、徐々に不正利用への対応に特化する。2003年オーストラリア・シドニーで不正対応の新チーム立ち上げを機に、フロードリスク部門に加入。アジアをメインに世界の情報漏えい案件の分析と対策に従事。2018年に帰国し、現職。グローバルの立場から日本のカード不正利用問題を監視。
アメリカン・エキスプレスのセキュリティ対策