自分のクレカ不正利用例(2022年8月4日認知)
=========
この記事を書くきっかけは、2021年9月にお金持ちの友人が300万円ほど不正利用(に気づいた)の被害にあったことです。実体としては1年強ほど少額決済を繰り返され、利用明細もノーチェックで、やっと最近気づいて、クレカ会社からの補償も2か月分で60万円ほどにしかならないという顛末でした。クレカ会社から見れば「太い客だけどその利益に比べると不正利用の補償で大損なのでこの客には今後使ってほしくない」ということになるかと。自分がクレカ会社の中の人だったらクレカ契約お断りの社内ブラックリストに入れるかもしれません。
Amazonクレカのレビューが酷い事になっていますが・・・・その中には「不正利用は自分には問題がなく、カード会社側に問題ある」ぐらいの勢いのものも多々あり・・・・クレカの契約上で不正利用に対する補償がない、補償が少ないなども多々あるわけで自衛できない人はクレカ持たない&使わないほうが身のためかと思います。
クレジットカードは「クレジット=信用」の元に使う決済です。
クレカ会社の不正検知システムは、少額利用&低頻度な利用にはほぼ全く反応せずに効かないと思った方がいいです。
====
楽天カードのお知らせ(不正アクセスによるお客様情報流出)
数日に1回という高頻度で「不正アクセスによるお客様情報流出」のお知らせがあります。小規模のものを含めると高頻度すぎてメディアでニュースにすらならないのでしょう。ということで現実として「不正アクセスによるお客様情報流出」は頻繁に起きているという事でご注意を
【2021年最新】クレジットカードの不正利用の発生状況と不正被害額まとめ
2016年と2017年の比較で激増してます。特にカード番号盗用被害が倍増以上です。2017年に大規模流出や闇市場の拡大とか何かあったのでしょうし、2017年以降に番号流出が活発化しているのだと思われます。
安全・安心なクレジットカード取引への取組
一般社団法人日本クレジット協会
クレジット関連資料
一般社団法人日本クレジット協会
====
主な不正利用の種別
(A)加盟(販売)店関係からの番号漏洩
このリスクはネット決済でも店頭決済でもあります。
セキュリティ対策が不充分な場合には、漏洩・流出(不正侵入含む)の可能性が高まります。前記の楽天カードのお知らせ(不正アクセスによるお客様情報流出)のように比較的小規模な所からの漏洩・流出は頻繁にあります。
なお、PayPalだとカード番号はPayPalが管理しており、加盟店側へはカード番号のやり取りがありません。つまりPayPalのセキュリティが破られなければ安全とも言えます。同様にAmazonや楽天市場などもそれぞれがカード番号を管理しており、加盟店側にはカード番号のやりとりが無いものと思われます。なのでより高度なセキュリティ対策が行われていると思われるのでより漏洩のリスクは下がると思われます。
(B)フィッシングによる番号漏洩
メールやSMSなどから偽のサイトなどに誘導して、カード番号を盗むというものです。カード会社、銀行、Amazon、楽天市場などからのメールに偽装したものが多くみられます。
詳細は下記で
フィッシング対策協議会
自分が長年使っているYahooのメアドには毎日数通程度のフィッシングメールが来ます。過半は迷惑メールフォルダに入ってますが、そうでないものも結構有り、毎回Yahooに迷惑メール報告しています。
フィッシング対策協議会のフィッシングの報告 にも報告したほうがマシになるかもです。
具体的な対策としては
PCであればカーソルを該当URLに重ねる、スマホであれば飛ばない状態で長押し表示させれば、該当URLが正規のものかは確認できます。しかしながら、巧妙(1文字違い、例えば0ゼロをoオー)にしたりで非常に紛らわしいものが多いです。なのでリンク先のURL確認慎重に。フィッシングでは「明らかに違うだろ、それ!」というURLが殆どですが、かなりそれっぽいURLもあります。
何か問題があるかも?と思った際には、メールからではなく、あらためてブックマーク等からの正規のURLでログインして該当内容を確認するなどをしたほうが良いと思います。メールから誘導されて結果的にカード番号を入力するのは非常にリスクがあります。
(C)クレジットマスターによる総当たり攻撃
規則性(が微妙にある)と総当たりを組み合わせてクレカ番号などを推測して不正利用というものです。
詳細は下記で
クレジットマスター(Wikipedia)
クレジットマスターって知ってる?(三井住友カード)
カード会社側の対策としては、ネット決済では当初の対策であったセキュリティコード(クレジットマスター攻撃には有効)は現在はほぼ全部で必須ですが、コレでも現状ではセキュリティ的には足りずに、3Dセキュア(加盟店側は関与できない仕組み)により本人認証を経たものしか決済を許諾しないという風にして対策はしていますが、ネット決済でも3Dセキュア必須でないところもいまだ多いのが現状です。古いクレジットカード、廉価なプリペイドカードなどでは3Dセキュアに対応していないものが多いのも現状です。
なお、単なるパスワードであった3Dセキュア1.0から、ワンタイムパスワードや生体認証に対応した3Dセキュア2.0への移行が現在進行中です。数年内には殆どが3Dセキュア2.0対応になると思われます。
カード利用者側の対策としては後記の「利用状況を逐次確認」、「決済先別にクレカを使い分け」などが効果的かと思われます。自分はコレで不正利用が認知できました。また「各種制限(金額制限、海外利用は停止、当面使わないならカード自体の停止など)」も予防には効果的かと思われます。
====
自己防衛:セルフディフェンス
(1)利用状況を逐次確認(自分でナルハヤで不正検知)
これが最強最大に重要です。殆どの不正利用に対して効果的です。
多くのクレカでは不正利用に対する補償が1か月とか2カ月とか金額制限などで制限が多く(不正利用に対して全く補償のないクレカもある)、すぐに気づけば補償が効く場合が多いです。
つまり、アプリやメールで利用通知できるものは極力通知設定をしておくのが最大の防御となるかと思います。
手持ちのクレカのアプリは全部インストールして、利用に関する通知は全部で効くようにしておくのが肝要かと思います。例えば三井住友カードやエポスカード、ネット銀行系デビットカード、ブランドプリカは利用通知が良いものが多いので逐次利用通知を設定すべきだと思います。
逐次利用通知が無い場合には勿論ですが、アプリやWebで明細などを随時確認する癖をつけたほうが良いです。
====
(2)高セキュアなクレカ
・ICチップ搭載(物理的に高セキュア)
―>Mastercardは磁気ストライプを廃止する方向
・ナンバーレス(物理的に高セキュア)
―>飲食店のテーブル会計などでは重要
・3Dセキュア:特にワンタイム(論理的に高セキュア)
自分が考えるセキュリティ強度
ワンタイムパスワード(3Dセキュア2.0) >>> 1文字でもより長いパスワード >> 短いパスワード
・各種利用上限の設定が容易
月額決済上限や1回の決済上限など
―>ネット銀行系デビットカード、ブランドプリカの多くで対応
・各種利用制限の設定が容易
―>例:三井住友カードは国内・海外・店舗、ネット決済種別など細かく設定可
―>例:エポスカードは更に海外ATM利用制限が設定可
・一時停止、再開が容易
―>ネット銀行系デビットカード、ブランドプリカはほぼ実現
―>例:三井住友カードは一括制限などで一時停止や再開が容易
自分が良く使うリアルカードでは三井住友カード(特にナンバーレス)とエポスカード(新デザインで表にカード番号記載がない)が機能的には最も高セキュアな印象です。ネット銀行系デビットカード、ブランドプリカは高セキュアな機能を持つものが多いです。中でも特にRevolutは強力です。スマホのGPS機能を使ったロケーションベースのセキュリティ(On/Off)も出来ます。
他に自分が使うリアルカード系では、楽天カード、セゾンカード、PayPay(旧Yahoo)カード(そもそも通知するようなアプリが無い)、Viewカード、アプラス、ジャックスでは現在(2021年10月)で素早い利用通知もなく低セキュアと言えますが、各社は徐々に対応していくものと思われます。
====
(3)不正利用補償が良いカード
おおまかな傾向として補償の手厚さは、クレジットカード > デビットカード > プリペイドカード の順になりますが、クレジットカードでも不正利用補償がないもの、デビットカードでもPayPay銀行のデビットカード(後記)ように非常に手厚いものもあります。なお、プリペイドカードは補償が無い、薄いものがおおいので要注意で。
前記の(1)利用状況を逐次確認(自分でナルハヤで不正検知)で気づいたら、すぐに対応(利用停止、クレカ会社や警察に連絡)しないと補償期限に間に合わなくなったり、被害金額の拡大や補償限度額オーバーなど色々と問題です。ナルハヤの対応で!!
====
(4)使わないクレカは各種の一時停止、制限や契約終了を
高セキュリティなクレカ、そしてデビットカードやブランドプリカ系の多くは任意&適時に利用停止などが出来ます。当面使わないなら「一時停止」を強くお勧めします。アプリなどですぐに利用再開できます。また利用金額枠設定ができるものも多いですからこちらも抑えめにすることを強くお勧めします。
また三井住友カードやエポスカードでも海外店舗決済の利用制限がアプリで容易に出来ます。海外旅行に当面行かない、海外で使わないなら利用制限をかけておくべきです。ちなみに別に海外ネットの利用は別途に設定可能だったりします。
そして他に利用しているクレカが複数あり、全然使わないクレカは自己防衛および個人信用情報の点(クレカ総合計の与信枠総額が大きすぎると新規発行的に良くないかも?都合で)でも契約終了をお勧めします。残ったポイントがあるのなら計画的にポイント消費をしたあとに契約終了で。
====
(5)危ないと感じたなら決済を選んで
危ないと感じるならクレカのポイント還元なんか諦めましょう。現金や振込決済がベストです。次点で高還元よりも高セキュア優先なカードで決済です。
危ないと感じる決済はそもそも頻度が少なく年間決済額と比べるとごくごく少額なのですから。
クレカをそのまま渡してしまう飲食店(テーブル会計など)、海外サイト、海外店舗など「ちょっと危ないかも」というときには、決済を選んだ方が良いです。
高セキュアな順番:信用度に応じて使い分けを
(あ)現金(振込)
―>但し、Web通販(有名通販の偽物サイト、無名な通販サイト)などの振込詐欺では振込のほうが危険で要注意
なお、自分は無名通販サイトで振込詐欺の被害経験があります。この場合は逆にクレカ(不正利用補償が手厚いものを選択)での決済のほうが安全です。現在クレカ決済休止中などの記載があると危険です。自分が被害にあった通販も注文後にクレカ決済休止中の連絡がありました。
(い)コード決済:コード自体がワンタイム利用なので高セキュア
(う)タッチ決済
(え)ICチップ(差し込み)決済
(お)不正利用補償が優れるクレカで
例えば、飲食店のテーブル会計の場合、管理がしっかりしてそうな飲食店ならナンバーレス+高セキュアなクレカで。管理がアヤシイ飲食店なら現金やコード決済で。海外サイト利用ならPayPal経由(購入先の加盟店にはクレカ番号が流れない)、高セキュアなクレカの順番で。海外実店舗利用ならナンバーレス+高セキュアなクレカなど。他にはプリペイド(残高少な目)も・・・・
====
(5)決済先別にクレカを使い分ける
前記とも関係しますが、例えば、Amazonではこのクレカしか使わない、楽天市場では極力楽天カードしか使わないなどある程度のルールを決めておくと、クレカ利用の逐次確認でも不正利用が判りやすくなります。
これは絶対なルールではなく基本ルールで。例えばなんらかの高還元キャンペーンなどの例外利用は例外として覚えているものなので逐次確認でもわかりやすいです。
この使い分けに関しては、低還元(0.2%)ですが非常に対策が手厚い例として PayPay銀行のカードレス(バーチャルカード)タイプのVisaデビットカードは最大4枚まで無料で発行出来、用途使い分けも念頭に各種設定可能でかつ不正利用保険が年間500万円までと色々あってネット決済では最強力かもしれません。但し還元率が0.2%とこちらも最低レベルですが・・・・。ネット決済(特に海外)の予備としても良いかと思います。
不正利用がありカード再発行(番号変更)になった場合も使い分けがあれば、カード再登録などの手間も減るのでだいぶマシになります。
====
(6)買い物サイトなどへのクレカ番号の保存は今後の利用を考えて
利便性とのトレードオフです。利用頻度と自分なりの信頼度(セキュアな運営元か?)を考慮で。
利用頻度が低いサイト、低セキュアと思われる運営管理のサイトならクレカ情報は残さないように。
高信頼、高セキュアであっても今後利用頻度が下がりそうなサイトではクレカ情報を適時消去で。
また同様に高信頼、高セキュアであっても使わなくなったクレカ情報も消去で。
====
(7)利用PC、利用スマホもセキュアに
・フィッシングメール(リンク先のURLに注意)は要注意
Amazonや三井住友カードの名前を騙ったフィッシングは異様に多いです。あとETCや楽天カードも時々。URL(表示)が偽物だったりします。
・あやしぃソフトやアプリはインストールしない
->スパイウェアなどでクレカ番号が抜き取られる可能性有り
・アンチウィルス必須
->>超基本、トロイの木馬で抜き取られる可能性あり
・あやしぃサイトを見ない。
お勧めできないが、どうしてもというときは、ブラウザのプライベートモード、シークレットモードを利用
====