はじめに
キャッシュレス決済が普及する一方で、クレジットカードやスマートフォン決済の不正利用が急増しています。IPAの個人向け脅威ランキングでも、クレジットカード情報の不正利用やスマホ決済の不正送金が上位に挙げられており、2024年にはカード不正被害額が過去最大の約555億円に達しました。本記事では、クレジットカードとスマホ決済の不正利用の手口を解説し、個人が取るべき対策を紹介します。
クレジットカード不正利用の手口
フィッシングとスキミング
カード情報の不正取得には、フィッシングメールや偽サイトに誘導して情報を入力させる方法がよく使われます。攻撃者は実在のECサイトや金融機関を装い、偽のログインページでカード番号やセキュリティコードを入力させます。また、Webサーバに悪意のあるスクリプトを埋め込んでカード情報を盗み取る「Webスキミング」も増加しています。例えば国内の複数のECサイトが改ざんされ、購入者のカード情報が外部サーバに送信される事案が報告されています。
クレジットマスター攻撃と決済処理業者への侵入
攻撃者はカード番号の規則性を利用し、有効な番号と有効期限の組み合わせを総当たりで生成する「クレジットマスター攻撃」を行います。この手法により、カード会社が持つチェックシステムをすり抜けて有効なカード番号を特定することができます。さらに、決済処理業者への侵入によって大量のカード情報が漏えいする事件も発生しています。2023年には複数のオンライン店舗の決済プラットフォームが侵害され、利用者のカード情報が抜き取られました。
被害の発生と影響
カード情報が漏えいすると、不正な通信販売や海外サイトでの利用、偽造カードによる現金引き出しなど多様な被害が起こります。被害者は身に覚えのない請求に気付かないことも多く、発覚が遅れるほど損失が拡大します。さらに、カード情報が闇市場で売買されると、同じ情報が繰り返し利用されるため対処が困難になります。
不正利用の統計と動向
カード不正利用の被害額は年々増加傾向にあります。日本クレジット協会によると、2024年のカード不正利用額は約555億円で過去最高となり、前年から20%以上の増加が報告されました。特にインターネット取引における被害が全体の大半を占め、ECサイトの拡大とともにカード情報の盗難と悪用が増加しています。また、偽造カードを用いた店頭での不正利用は減少していますが、カード情報の「なりすまし利用」が急増していることがわかります。この傾向はキャッシュレス化の進展と比例しており、利用者一人一人のリテラシー向上が不可欠です。
国際的には、オンライン決済における「カードなし決済(CNP)」の不正率が上昇しており、多くの国で3Dセキュアの義務化や不正検知システムの導入が進んでいます。EUではPSD2規則により強力な顧客認証が義務付けられ、日本でも電子決済等代行業者に対する登録制度が整備されるなど、法整備が進められています。
スマートフォン決済の不正利用
アカウント乗っ取りと不正送金
スマートフォン決済アプリでは、アカウントの乗っ取りによる不正利用が問題となっています。攻撃者はフィッシングやリスト型攻撃で入手したID・パスワードを用いて決済アプリにログインし、登録済みのクレジットカードから多額の商品を購入したり、チャージ済み残高を他人の口座に送金したりします。特に、リモートで簡単に決済できる「オフライン取引」機能では、カードの利用停止後でも一部の取引が成立してしまう例があり、被害者が気付きにくいと指摘されています。
QRコード決済詐欺と返金詐欺
スマホ決済にはQRコードを利用した詐欺も存在します。攻撃者は公共料金の返金や通販サイトの返品手続きなどの名目で、ユーザーに偽の返金用QRコードを提示し、実際は攻撃者の口座へ送金させる「返金詐欺」を行います。また、SNSやフリマアプリを通じて受け取った偽の決済リンクから不正アプリをインストールさせ、端末内の決済情報を抜き取る手口も確認されています。
スマホ決済特有の脆弱性
スマホ決済アプリは利便性が高い一方で、端末自体が盗難やウイルス感染に遭うとアプリ内の決済情報が盗まれるリスクがあります。攻撃者は端末のロックを解除し、登録されたクレジットカードや銀行口座の情報を不正に利用するほか、アプリに保存されたポイントや電子マネーを使って物品を購入します。デバイス管理機能を無効にしたり、提供者が推奨する認証機能を無効化することも被害を拡大させる要因です。
近年では、スマートフォンの機能を悪用した「SIMスワップ詐欺」も報告されています。攻撃者は携帯電話会社に対し、利用者になりすましてSIMカードの再発行を申請し、電話番号を乗っ取ることでSMS認証を突破します。その後、銀行アプリや決済アプリの認証コードを受信し、不正送金やチャージの引き出しを行う手口です。端末ロックが解除されていなくても、電話番号の乗っ取りだけで一定の操作が可能になるため、注意が必要です。
また、オフライン対応のタッチ決済や交通系ICカードの残高引き落としに関連した詐欺も報告されています。攻撃者はNFCリーダーを改造して被害者のスマホに接近し、小額の支払いを無断で行う「スキミング型タッチ詐欺」を行います。この手口は店舗など人混みの中で気付かれにくく、ICカードやスマホ決済の普及に伴い増加しています。
個人が取るべき対策
クレジットカードの安全な利用
- カード情報の入力先を確認
- メールのリンクや広告からアクセスしたサイトにカード情報を入力しない。公式アプリやブックマークした正規サイトから決済する。
- 3Dセキュアの利用
- 利用通知の活用
- カード会社が提供する利用通知サービスを登録し、不審な取引が発生した際にすぐに気付けるようにする。
- カード限度額の設定
スマホ決済の安全な利用
- アプリの多要素認証を有効にする
- アプリの提供元を確認
- 公式ストアからのみアプリを入手し、提供者の名前やレビューを確認する。正規アプリを装った偽アプリに注意する。
- 端末のセキュリティを保つ
- 画面ロック、端末暗号化、リモートワイプなど基本設定を有効化し、紛失・盗難時に備える。
- 不審なQRコードは読み取らない
- 返金やキャンペーンを装ったQRコードを安易に読み込まない。公式アプリ内で提示されたコードのみ利用する。
- 決済履歴の定期確認
- スマホ決済アプリの利用履歴を定期的にチェックし、不審な取引はすぐにサービス提供者に報告する。
補償制度と法的責任
クレジットカードやスマホ決済の不正利用が発覚した場合、速やかにカード会社や決済事業者へ連絡し、利用停止やチャージ残高の凍結を依頼することが重要です。多くのカード会社は不正利用に対する補償制度を設けており、一定期間内に申請すれば損害を補償してくれます。ただし、利用者に重大な過失(暗証番号のメモを端末と一緒に持ち歩くなど)がある場合は補償対象外となることがあります。スマホ決済事業者も、不正送金が発覚した際の返金対応や保証制度を提供していますが、被害に気付いて報告するまでの時間が長いほど返金が困難になるため、日常的な明細チェックが不可欠です。
法的には、資金移動業者や電子決済等代行業者には不正利用防止策の実施が義務づけられており、利用者の本人確認や二要素認証、取引モニタリングを適切に行うことが求められます。また、個人情報保護法に基づき、カード情報や決済履歴などの機微情報を安全に管理し、漏えいが発生した場合は速やかに公表・報告する責任があります。利用者は、自身の責任を理解しつつ、補償制度の内容や申請方法を確認しておきましょう。
おわりに
クレジットカードとスマホ決済の不正利用は、攻撃者が巧妙な手口で利用者の隙を狙うサイバー犯罪です。フィッシングやWebスキミングによるカード情報の盗難、アカウント乗っ取りや返金詐欺など、多様な攻撃が報告されています。しかし、個人が基本的な対策を徹底することで被害を大きく減らすことができます。正規サイトからの決済や多要素認証の活用、取引履歴の確認など、日頃から安全な利用習慣を身につけ、安心してキャッシュレス時代を生き抜きましょう。
また、カード情報や認証情報の盗難は他のサイバー犯罪にも波及します。闇市場で売買された情報は、不正ログインやビジネスメール詐欺、ランサムウェア攻撃の足掛かりとして利用されることが多く、個人の被害が組織全体のリスクとなる可能性があります。従って、クレジットカードとスマホ決済の安全対策は、情報セキュリティ全体を強化する一環として位置付けることが重要です。利用者教育と技術的防御策を両立させ、社会全体で安全なキャッシュレス環境を実現しましょう。
