トップへ

「イオンカード」の不正利用が急増した根本原因 なぜここまで返金対応が遅れているのか

2024年10月10日 15:21  ITmedia NEWS

ITmedia NEWS

写真

 近年クレジットカードの不正利用に関する犯罪が増えているが、その利用スタイルの変化や対策手段の登場にともない、以前とは違う形での不正利用が増加している現状がある。


【画像を見る】イオンカードが掲載したお知らせ全文


 以前までであればスキミングや番号の盗み見などの手段で入手したカード番号を元に偽造カードを作成する手法が多かったと思われるが、ICチップ利用の必須化により偽造カード作成は困難になり、盗んだカード番号をオンライン取引で利用するケースが一般化してきている。


 まずユーザーにフィッシングメールを送信してカード情報の入力を促したり、あるいは決済サービスを提供する企業のサイトをハッキングしておき、そこに入力された情報をかすめ取るといった手法だ。


 このようにして盗んだカード番号をオンラインの決済で利用して換金性の高い商品を購入し、売却することで利益を得るのが犯人の狙いだが、もともとオンラインでの取引は、人と人が店頭で行う対面取引に比べても不正利用がしやすいこともあり、3Dセキュアのような追加の本人確認手段が必須化されるなど、“素”の状態でカード番号を入力してもそのままでは決済が行えないケースが増えている。


 以前なら比較的登録条件が緩かったAmazonの海外法人も登録をカード番号登録を厳格化したり、モバイルSuicaのオンラインチャージ経由での不正利用が目立ったJR東日本でも1日あたりのチャージ金額に制限を設けるなど、対策が進みつつある。


●イオンカードで不正利用が頻発した“穴”


 下記の記事にあるような今回のカードでの不正利用は、何らかの手段で盗んだカード番号をオンライン取引で直接利用するのではなく、特定のルートで得たカード情報を「Apple Pay」に登録することでユーザーの本人確認作業をスキップできる仕組みを悪用したもので、さらに発覚を遅らせて、かつ利用者が気付いたとしてもすぐに止めることが難しい状況を作り出すことで被害が拡大した。


・イオンカード、不正利用の対応遅れを謝罪 「カード止めてと依頼しても止まらず、数十万円請求された」などの声


・クレカの不正利用対応で物議、なぜ対応が遅れているのか「イオンカード」発行元に聞いた


 今回のイオンカードの不正利用について大枠での動きをまとめると、フィッシングメールなど何らかの手段でユーザーから得たカード番号やログイン情報を使って悪意のある第三者がApple Payへのクレジットカード登録を行い、この際に強制的にひも付けられる「iD」を利用してリアル店舗での買い物を連日繰り返した点にある。上限金額にして1万円ほど、これを連日異なる店舗での買い物に利用し、買い物通知は本来の利用者には届かず、後で請求が送られてきた時点で初めて気付くといった具合だ。


 さらに、「クレカを止めても請求が止まらない」という事態まで発生している。ここで用いられているのが「オフライン取引」と呼ばれるものだが、複雑なメカニズムなので本稿での解説は省く。詳細について興味ある方は手前味噌だが筆者の別記事を参照してほしい。


 本稿では「なぜ返金対応に時間がかかっているのか」「同じような犯罪は今後も起きるのか」の2点のみに絞って解説する。


●なぜ返金対応に時間がかかるのか


 理由としては主に2つある。1つは、クレジットカードの不正利用をユーザーが訴えた場合、カード会社と実際に不正利用が行われた店舗の間での確認作業が発生し、対応が行われるまでに一定程度の時間がかかる点だ。筆者も過去に不正利用が行われて何度かクレームした経験があるが、確認作業に最短で1日から数日程度かかっており、明細が届いてから実際の引き落としまで1週間も猶予がなかったこともあり、確定分についてはいったん引き落としが行われ、次回請求分で当該を相殺となることが多かった。


 不正利用に即気付いた場合には被害は最小限で済むが、前月のすでに引き落とした分に不正利用が含まれていた場合や、今回の特殊事例で「クレカを止めても引き落としが続く」というケースでは対応期間が長引く可能性がある。


 もう1つのケースは、件数が多すぎてカスタマーセンター側が“パンク”している可能性だ。不正利用というのは常に一定程度の水準で発生しているものだが、イオンカードのケースではもともとのユーザー数が多いうえに、登録時の“穴”を突かれたため集中的に狙われた可能性が高い。


 そのため、キャパを超える問い合わせが殺到し、処理が追い付いていないものと考えられる。先ほど挙げた記事中でも「1月の不正利用の関連書類が10月にようやく届いた」といった情報が引用されていたが、これは同時期にそれだけ問い合わせが殺到していたことを物語っていると推察できる。


 いずれにせよ、このような大規模な不正利用はカード会社にとっても寝耳に水なことであり、被害者には申し訳ないが、カード会社側で真摯な対応姿勢を見せている以上、もう少しお付き合いをしてあげてほしいところだ。


●今後このような犯罪は発生しないのか


 今回は「盗んだカード情報」を「Apple Payに登録」して、機内モードなどネットワーク通信を遮断した「iDのオフライン状態での利用」を続けることでカードの不正利用を行う手法が用いられた。


 ある情報源によれば、不正利用が急増されたこともありイオンカードを用いたiDのオフライン利用は現在極度に制限されており、前述のような連日1万円のような使い方は不可能になっている。一方で、これが理由で自動販売機などを含めてiDの利用そのものが極度に制限されるケースが想定されるため、イオンカードユーザーはその点に留意する必要がある。


 一方でクレカの不正利用手法は日々進化しており、犯罪者側は穴を見つけては攻撃を水面下で仕込んでいる。いたちごっこの世界ではあるが、少なくとも今回起きたようなケースは対策が進みつつあり、今後は同じ手段での攻撃は難しいだろう。ユーザーとしてできる自衛策は、フィッシングメールを含む怪しいサイトへの情報入力を毎回警戒するとともに、小まめに利用履歴を確認して不正利用の兆候を少しでも早く発見することが挙げられる。