被害額430億円超　クレカ不正利用が過去最悪

436億7000万円。

去年1年間（1月ｰ12月）の、クレジットカードが不正に利用された「被害額」だ。
おととし（2021年）から100億円以上も激増し、統計を取り始めた1997年以降、過去最悪となった。

被害額の内訳をみると、不正に入手したカードの番号が使われる「番号の盗用」による被害が411億7000万円と、全体の94.3％を占めている。

その原因の1つとして考えられているのが、偽のウェブサイトに誘導してカード番号やパスワードなどを盗み取る「フィッシング詐欺」の大幅な増加だ。

フィッシング対策協議会によると、去年1年間に寄せられたフィッシング詐欺に関する報告件数は96万8832件だった。
前の年から44万件以上も増え、こちらも過去最高の件数となった。

フィシング対策協議会によると、最近の傾向としてはSMS＝ショートメッセージに表示されたURLから偽サイトに誘導するフィッシングの1種「スミッシング」と呼ばれる手口が使われているという。

宅配便の不正通知を装ったり、関税局などをかたったりするものが増えているというのだ。

カード会社や銀行のほか、電気・ガス会社をかたるフィッシングメールも増加中だ。

また、件数は少ないものの、最近ではQRコードをスマホで読み込ませることでフィッシングサイトに誘導する手口も確認されている。

フィッシングサイトへ誘う手口は年々多様化・巧妙化しており、こうした手口は数か月ごとにトレンドが変わることがあるため、注意が必要だ。

さらに、気をつけなければならないのは、フィッシング詐欺だけではない。

被害者本人が自覚していないところでカード番号などの個人情報が漏えいしているケースもある。

例えば、過去にクレジットカードで決済を行ったサイトが外部からハッキングを受け、クレジットカード番号などの個人情報が漏えいした場合などだ。

漏えいした個人情報はインターネットやSNS上の闇市場＝ブラックマーケットで売買され、犯罪グループなどに悪用されることがある。

カード情報を預かる事業者側も最新のセキュリティーを導入するなどの対策は当然必要だが、利用者側も身に覚えのない支払いがないか利用明細を細かく確認し、異常な支払いがあった場合はカード会社に連絡して利用を停止するなど、早めの対応が必要だ。

不正利用の被害額が大きくなっていく中、カード会社やセキュリティー会社も次々と対応に乗り出している。

カード会社などが取り組んでいる対策の1つに「自社をかたるフィッシングサイトを検知し、通報してもらう」という方法がある。フィッシングサイトが現れても早い段階で検知して対応することで、被害の軽減を図ることがねらいだ。

都内のセキュリティー会社では、金融機関などからの依頼を受け、フィッシングサイトが立ち上がった場合、即座に検知し、サイトのURLといった情報を依頼会社に提供したうえで、サイトが立てられているインターネットサービスプロバイダーやドメインの運営会社などに閉鎖を依頼している。

検知の仕組みは、サイトのIPアドレスや画像、URLなどを「疑いの度合いに応じて独自にスコア化」し、一定のスコアに達したサイトを「フィッシングサイト」としてほぼリアルタイムで把握するというものだ。

フィッシングサイトを検知した場合、検知の日時やURL、ドメイン情報などが記載されたデータとともに、フィッシングサイトの画像がシステムの画面に表示される。

この会社に取材に訪れた日の履歴を見せてもらった。
午前5時以降、ある同一のクレジットカード会社のフィッシングサイトが、数分から数十分おきに次々と立ち上がっていた。

数日前の履歴では、JCBなどの大手クレジットカード会社のフィッシングサイトも検知されていて、表示されていたURLにアクセスしてみると正規のサイトにそっくりなログイン画面に誘導された。

取材中にも銀行や大手ECサイトをかたるフィッシングサイトが検知され、毎日数多くのフィッシングサイトが立ち上がっていることが明らかとなった。

セキュリティー会社によりますと、フィッシングサイトは波があるものの、多いときには1日に数千件も検知されることがあるという。

カード会社も、クレジットカードの不正利用を防ぐために、インターネットで買い物する際に一時的に発行されるワンタイムパスワードの入力を追加で求めるなど「本人認証」と呼ばれる対策を強化している。

クレジットカード大手「JCB」では、偽サイトに誘導するフィッシング詐欺などで盗み取られたカード番号やセキュリティーコードが何者かに悪用され、カードが不正利用される被害が増えているという。

会社ではそうした不正利用を防ぐために、ネットでカード決済をする際に「本人認証」の仕組みを新たに導入する対策を進めている。

その一つが「3Dセキュア」と呼ばれるサービスだ。
決済時にカード番号に加えて、一時的に発行するワンタイムパスワードを入力してもらうことで本人かどうか確かめる。

ワンタイムパスワードは、ふだんはあまり利用しないサイトでの購入などカード会社がリスクが高いと判断した場合に発行され、本人のSMSやメールアドレスにだけ送信されるため、安全性が高まるとされている。

経済産業省は、2025年度からこうした「本人認証」を義務化する方針だが、カードの利用者や加盟店にどう普及を促すかが課題になっている。

都内に住む50代の男性は、3月にクレジットカードが不正利用される被害に遭った。

3月22日、突然カード会社からアメリカ オハイオ州にあるレンタカー店で、男性のカードを使って8万9949円の決済が行われたという通知が届いたというのだ。

まったく身に覚えのない支払いだった。

男性はすぐにカード会社に電話で連絡し利用停止の手続きを行ったため、新たな不正利用を食い止めることができ、被害の全額は補償されることになったという。

男性は、過去に被害にあったカードを使って海外の通販サイトで買い物をしたことがあるものの、はっきりとした心当たりはないとしている。

過去最悪となったクレジットカードの不正利用の被害額。
フィッシングの大幅な増加や個人情報の漏えいなど、考えられる要因はさまざまだ。
非情な攻撃者の行為は許されるものではないが、彼らの攻撃は今後ますます多様化・高度化し、数も増えてくることだろう。
つまり私たちが自分で身を守るしかないのだ。
ただ、気をつけるべきことは実は昔からそれほど変わっていないこともある。

▼心当たりのないメールやショートメール（SMSなど）は開かない。
▼アクセスしたサイトの先でカードや個人情報の入力を求められたら、本当に大丈夫なのか。一旦、立ち止まって考える。
▼情報を預かる事業者側も最新のセキュリティーにアップデートする等々…。

ふだんから個人や企業がセキュリティーへの意識を持つだけで、被害の結果は大きく変わってくだろう。
「私には、弊社には関係ないと思っていた」
「まさかうちが…」
これまで何度もそういった声が、後悔の念とともに私たちの元に届いてきた。

被害を少しでも減らしていくために、今後も取材を続けていきたい。