クレジットカード不正決済 個人情報悪用の実態を追う

浅草にある貴金属店。

地域のお年寄りに愛され営業を続けてきたが、コロナ禍で客が減り、客層を広げようと、簡単にネットショップを作れるというアプリで、販売を拡大した。

ことし８月のこと、店主の篠田拓也さんのもとに、アプリの運営会社から、「商品の購入で使われたクレジットカードの持ち主が、身に覚えがないと言っている」という知らせが届いた。

その３か月前の５月に販売した金のネックレスの購入で不正決済が行われた可能性を示すものだった。

売り上げ代金の３６万円は、すでにカード会社から店側に支払われていたが、その全額を返金するように求められた。

篠田さん「唐突だったので、え、なぜという感じでした」

クレジットカードの不正決済が行われた場合、カード会社が保険で代金を補填していると思っている人も多いかもしれない。

しかし、実はその多くは、商品を販売しているショップ側が負担している。

「チャージバック」という仕組みだ。

不正決済の場合でも、いったんカードで決済が行われると、カード会社は、ショップ側に、商品の代金を払い込む（チャージ）。不正が明らかになった場合などに、それを、返してもらう（バック）のだ。

篠田さんのもとに来た、突然のチャージバックの連絡。

アプリ運営会社から示されたのは、「購入者のクレジットカードが不正に使用された可能性がある」という情報だけだった。

篠田さんが、「お金を返せば、商品は返ってくるのか」とメールで問い合わせると、店の方で直接警察に相談してほしいと言われた。

そして、警察に相談して、被害届を出そうとしたが、対応してもらえなかったという。

「チャージバック」の制度では、その適用に関して、異議がある場合は店側に反証の機会が与えられている。

納得がいかなかった篠田さんは、「商品を発送したので払う必要がないのではないか」と、「ゆうパック」の配達履歴をもとに、主張した。

しかし、９月、カード会社は、アプリ運営会社を通して、「国内カード会員より利用覚えなしとの申出があった為」という理由を示して、支払いの最終決定を篠田さんに伝えてきたという。不正決済は、その後も２件続き、被害金額は３件合わせて60万円にのぼったという。

篠田さん「不正の被害の補償を求めようにもどうにもできないのが悔しい。アプリの運営会社は不正なカード情報が使えないようにするなど、安全対策をきちんとしてほしいし、納得のいく説明が欲しかった。今になって返金しろと言われても困った」

このように、ネット販売の店舗が、いったん受け取った商品の代金の返金を
カード会社から求められる「チャージバック」が適用されるケースが増えている。

東京のセキュリティー会社「Ａｋｕｒｕ」は、その背景にあるオンラインの不正決済を監視している。

コロナ禍に入って通販サイトを運営する企業などから次々と依頼を受けている。

顧客サイトに対する通信を常時監視し、日本国内のみに販売するサイトなのに海外の端末から決済されていたり、同じ人が多数のカードを一斉に使って買い物するなど不審な動きをスコア化。
スコアが一定以上になると、取り引きを自動的に止める対応を行っている。

監視画面を見せてもらうと、高スコアを示す赤いマークが数十秒から１分おきに表示されていた。

決済をしてきた端末の言語設定は、中国語だったり、ベトナム語だったりと様々だった。

不正決済の検知数は、去年６月、前の月の３.６倍ほどに急増し、その後も増加傾向が続いているという。

この会社では、コロナ禍で消費者の通販サイトからの購入が増えたのに合わせ、商品を不正購入して転売する手口が大きく増えたためとみている。

Ａｋｕｒｕの栗田和明さんは「数年前は大手の人気の高い商品だけが狙われたが、最近は通販を始めたばかりの小さな会社も広告を打った瞬間に被害を受け、商品問わず狙われるようになった」と危機感を募らせる。

日本クレジット協会の調査によると、クレジットカードの不正決済の被害は、去年１年間で２５３億円。

特に増えているのが、カード番号の盗用による被害だ。

全体の８８％を占め、過去最高額となっている。

クレジットカードの番号やセキュリティーコードなどの情報は、偽サイトを使ったフィッシングによって盗み取られることが多い。

大手企業にセキュリティーのエンジニアとして勤務するＫｅｓａｇａｔａＭｅさん。

「フィッシングハンター」とも呼ばれ、フィッシングサイトの情報を監視・収集、ツイッターなどで注意喚起や啓発を行っている」

ＳＮＳ上に書き込まれる、詐欺メールや偽サイトに関する投稿をチェック。

偽サイトのＵＲＬから、ウェブサイトの「住所」にあたるＩＰアドレスを特定。同じＩＰアドレスを利用している複数の「フィッシングサイト」をリスト化している。

この日、都内のＩＴ企業で行われたフィッシングハンター仲間などとの情報交換の会議で、ＫｅｓａｇａｔａＭｅさんは、数時間前に見つけたという電子決済サービスのフィッシングサイトを紹介した。

そのフィッシングサイトは、見た目は本物とほとんど変わらなかったが、極めて巧妙な仕掛けが施されていた。

通常のＩＤとパスワードだけでなく、誘導される次の画面で二段階認証に使用する「ワンタイムパスワード」までも、入力させるようになっていた。

「ワンタイムパスワード」は、あらかじめ登録された電話番号のショートメールにパスワードがその都度、届くもので、二段階認証によってセキュリティーが高まり、多くのサイトなどで取り入れられるようになっている。

「次々に偽サイトが乱立する状況になっている。終わりのなき戦いに入っているという実感。被害を減らすための活動として何が良いのかということが、我々もわからなくなってきているほどだ。一人でも多くの人に知ってもらい、被害を減らしたい」

こうしたカード情報を扱うブラックマーケットが、中国のＳＮＳ上に広がっていることが、日本と韓国の情報セキュリティー会社が協力して行っている調査から分かってきた。

取材で見せてもらった画面には、ＳＮＳのチャットのグループが多数、アイコンで表示されていた。

チャットには、参加人数が表示され、１００人ほどのものもあれば、中には、２０００人ほどのものあった。

情報セキュリティー会社・サウスプルームの篠田律さんによると、これらのグループは、
中国のＳＮＳ上の会員制のグループで、招待されないと入れないという。

韓国の調査員が、こうしたグループに潜入し、中のやりとりを調査している。

そこでは、カード情報をはじめとする日本人の膨大な個人情報が、日々売買されていた。

画面を見せてもらうと、「日本」という言葉の横に「魚」のマークが並んでいた。

「魚」はフィッシングで入手したカード情報を示す隠語だという。

グループチャットを探っていくと、日本人のクレジットカード番号や氏名、住所などの情報が載ったチャットがあった。マイナンバーカードの情報も売られていた。

サンプルが確認でき、正式に購入すれば、数百件の情報が手に入ると書いてある。

調査員が、チャットグループ内での販売者とのやりとりの記録を見せてくれた。

「三井のソースコードがある」という中国語の書き込み。

（調査員）それは何か？

「三井のソースコードは三井のソースコードだ」

（調査員）

「三井住友銀行のホームページのフィッシングサイトか？」

「そうだ」

販売されていたのは、三井住友銀行の本物のウェブサイトに似せた偽のフィッシングサイトを作るためのプログラムの設計図だと見られるという。

相手は、そのプログラムで作った偽サイトでは、実際に１日に最大で１０数件のログイン情報を窃取することができたと、明かした。

価格は３０００人民元、日本円にして５万円あまりだった。

篠田さんは「中国では、ひとつひとつのグループが競争しながら無数に存在し、どこでどういう存在でやっているのかが見つけにくく、グループが突然閉鎖されたりもする。当局の厳しい規制や取締りをかいくぐるためにやっているのだろう」と分析する。

そのうえで、「インターネットの世界に距離は関係ないものの、中国の場合、日本で高額商品を買って中国に送る送料も安く済み、日本が狙われやすい事情はある」と指摘する。

「ブラックマーケット」で大規模に取り引きされていた日本の個人情報。

その情報を盗み取るフィッシングや偽サイト。どう対策をすればいいのか。

フィッシング対策に詳しい情報セキュリティー会社「マクニカ」の鈴木一実さんは、それぞれの企業の自助努力だけではなく、社や業界の垣根を越えて被害情報などを共有する取り組みを本格的に進めるべきだとしている。

「過去には、都市銀行が集中的に狙われた時期があった後、地方銀行が、まとめて狙われたというケースがあった。もし企業間で、先回りして、被害情報などが共有できていれば、被害を減らすことができる。業界を横断して、連携していく必要がある。自社の利益だけにとらわれず、業界の課題、あるいは、さらに広く社会の課題だと各企業が捉えてほしい」

また、一般の消費者ができる対策のひとつとしては、基本的なことだが、パスワードを定期的に変えることだと、指摘する。

仮に、情報が奪われてしまったとしても、パスワードを変え続ければ、犯行側が悪用するハードルを少しでも上げることができる。日常生活に紛れ込んだ偽メール。その先にあった「ブラックマーケット」の実態。想像を超えて拡大する被害に立ち向かうときが来ている。