今回被害に遭ったクレジットカード元々は上京してきてすぐの時期にソフマップ秋葉原中古パソコン2号店(閉店)で買い物をした際に勧誘されて作ったカードであったりする。

クレジットカードが不正利用された ~あなたのカードは大丈夫?~

  • このエントリーをはてなブックマークに追加

by [2015年11月30日]

それは筆者が愛用のNexus 7(2013)でFate/Grand Orderのプレイにいそしんでいたある日の昼過ぎのことでした。

部屋でゲームに熱中していたので気づいていなかったのですが、ふと気づいて確認すると、iPhone 6 Plusの通話履歴に見覚えのない番号がありました。

「電話帳ナビ」で筆者の所にかかってきた電話番号を調べた結果

「電話帳ナビ」で筆者の所にかかってきた電話番号を調べた結果

今時、見覚えの無い番号、それも市外局番03の固定電話からの電話と言えばワン切りだの何かの勧誘だのとろくでもない電話ばかりなので用心して念のためにその番号でググってみたところ、筆者が契約しているクレジットカード会社であるJACCSのカードセキュリティセンターのものでした。

しかも、その番号の基本情報を掲載した情報サイトのクチコミ欄を読んでみると「必ず応答すべきです」や「安全確認」などの文字が躍っており、尋常ならざる気配です。

そこで意を決してその番号に電話をかけ、担当の方にこちらに電話がかかってきた旨を伝えたところ、しばらくして折り返しでご連絡いたします、との返答でした。

そして待つこと数分、かかってきた電話を取って改めて本人確認された後でお話を伺うと、「11月○日(丁度、その日の前日でした)にこちらのカードで何か買い物、インターネット通販などを利用なさいましたか?」という確認のお電話でした。

11月○日と言えばその日は一日中仕事の調べ物かFate/Grand Orderのプレイに明け暮れていて、インターネット通販も外出も買い物もしていません。

そんなわけで、記憶鮮明な1日前の話で、しかも全く身に覚えのない話でしたので、怪訝に思いつつも「カード払いで買い物をした記憶は全くありませんし、このタイミングでその金額を引き落とすような口座引き落としの類いも一切ありませんが、どのような引き落としがあったのでしょうか?」とおたずねしますと、あれこれ説明がありました。

それらを要約すると、「請求の具体的な内容はわかりかねますが、続けて3回、6万円、3万円、1万円の引き落とし請求がありました。不自然でしたのでご確認をさせていただきました」とのことでした。

筆者の場合、国内でもAmazon.co.jp、Amazon.com(※注3)をはじめ複数の通販サイトを一般の店頭に並びにくい飲料や書籍、パーツなどの購入のために日常的に利用していますし、Yahoo!オークションでも「かんたん決済」という形で結構頻繁にクレジットカード支払いの手続きを行っています。

どうやらそうした通販を利用した際か何かで筆者の利用しているそのカードの情報がどこからか漏れ、犯罪者に不正利用をされたようなのです。

 ※注3:ご存じの方も多いと思いますが、Amazon.comとAmazon.co.jpでは取扱商品が異なるため、洋書などを中心に前者でのみ購入できるケースが多々あったりします。しかも、両サイトはアカウントが共通化されていないため、Amazon.co.jpの利用者であっても再度改めてユーザー登録を行わねばなりません。もっとも、それでさえ、出品者側の配送制限により日本からは購入できないものが少なからずあるので、その場合は(Amazonではなく)別の海外サイトを探してそこで購入する必要があります。今回は恐らくこれまでに利用したそのようなサイトのいずれかで情報が漏洩した可能性が高いと筆者は見ています。

ちなみに筆者のこのクレジットカードのショッピング限度額は、自慢ではありませんが自分の毎月の支払い能力が低いことを勘案してかなり低めに設定してありました。

しかもこの月は前月に引き続きノートパソコン関係で色々購入するものがあったりした関係で残高が2万円程度になっていたことを、ちょうど3日前にオンラインサービスで確認したばかりでした。

つまり、そうした状況を把握している筆者がそこからちょうど6万円の買い物代金を支払うというのはそもそもあり得ない話で、ましてや続けて3万、1万とラウンドな金額で引き落とされるような買い物を短時間に行うというのも更にあり得ない話(※注4)です。

 ※注4:そもそも3万円なり6万円なりの商品を購入したとしても消費税が加算されますから、通常はそれなりの端数が発生します。このクラスの金額になってくると、筆者の場合は通常分割払いを選択することが大半ですから、なおのことラウンドなちょうど○万円の請求、というのは不自然なことになるわけです。

どうやらこういった不自然かつ不審な引き落とし行為は(不幸にして)少なくないようで、不正検出システムによるカード利用状況モニタリングでその不自然さに気づいた/パターン検出等で不正被害パターンと判断したカード会社が全ての取引を保留扱いにしていてくださったおかげで、こちらには一切被害が無い状態で今回の問い合わせ電話に至ったのでありました。

今回被害に遭い、引き落とし停止の措置が執られたクレジットカード元々は上京してきてすぐの時期にソフマップ秋葉原中古パソコン2号店(閉店)で買い物をした際に勧誘されて作ったカードであったりする。

今回被害に遭い、引き落とし停止の措置が執られたクレジットカード
元々は上京してきてすぐの時期に今は無きソフマップ秋葉原中古パソコン2号店で買い物をした際に勧誘されて作ったカードであったりする。

当然ながら、このカードは不正利用を理由とした引き落とし停止(およびこのカードに紐付けられたWebサービスの利用の停止)手続きが筆者が同意を行った上で直ちに行われ、筆者の下へは(再審査が行われた後で)新たな番号のカードが再発行・送付されることになりました。

こうして、今回の不正利用そのものについては、(新しいカードが届くまでクレジットの各種サービスが一切利用できないという問題はあるものの)とりあえず完全に対処がとられることになりました。

……とまぁ、ここまでは(根本的には全く良いことではないのですが)良かったのです。

問題は、この後に待ち構えていました。

クレジットカードの引き落とし停止と新カードの再発行に伴い後始末すべき事柄が、山ほど積み上がってしまっていたのです。

どこから漏れた(可能性がある)のか

一番の大問題、それは今回の情報漏洩が一体どこから起きたのか、です。

筆者の場合で厄介なのは、国内と海外の双方の通販サイト等を利用していてしかもその利用時期が重なっているため、情報がどこから漏洩した可能性が高いのか判断するのが難しいことです。

ただ、クレジットカードはJACCSのもの以外にももう1枚持っていて、これら2枚を必要に応じて適宜使い分けていたため、今回被害に遭わなかった方のカードのみをここ数ヶ月の間で利用していた通販サイトは、少なくとも今回の一件に関する限りは一応「シロ」と判断できます。

これだけでも候補をかなり絞り込めたのですが、ここからが厄介でした。

念のため、当該各サイトのトップページ等でクレジットカード情報の漏洩等についてのアナウンスが無いかを確認していったのですが、遺憾ながら国内でも筆者が利用している中で2カ所ほど漏洩があったというアナウンスがあって(※注5)、海外ではその種のアナウンスがどこに掲載されているのか判らない、あるいはそもそもそういったアナウンスを掲載するためのページさえ存在しないサイト(※注6)もあったのです。

 ※注5:ただし筆者の下にはそれについての漏洩を報告するメールが届いていないことが確認できたので、どうやらこれらのサイトについては(メール未到達の可能性もあってその点ではグレーではあるものの)一応問題ないと判断しました。
 ※注6:そういったサイトで今後料金支払いにクレジットカードを利用することは無いでしょう。逆説的ですが、通販サイトの信頼性を確認する手法についての良い勉強になりました。

クレジットカード情報登録の一例。DMM.comのマイページには、「クレジットカード情報の登録・変更」ページが用意されている。オンラインで通販や何らかの有料サービスを行っているサイトでは、支払いを円滑に行えるようにするためにこうしている所が少なくない。今回の一件でビビった筆者は、速攻で各サイトに登録していたクレジットカード情報を(既に使用できなくなっているためもあって)全て消して回ったことであった

“クレジットカード情報登録の一例。DMM.comのマイページには、「クレジットカード情報の登録・変更」ページが用意されている。オンラインで通販や何らかの有料サービスを行っているサイトでは、支払いを円滑に行えるようにするためにこうしている所が少なくない。今回の一件でビビった筆者は、速攻で各サイトに登録していたクレジットカード情報を(既に使用できなくなっているためもあって)全て消して回ったのであった

結局、「ここだ」というのは特定できなかったのですが、それでもある程度は疑わしいサイトを絞り込め、また各サイトの個人ログインページを確認したところ、クレジットカード情報を登録したままになっていたところが結構あって、念のためそれらを全て一旦消去する作業を行う羽目に陥ったりした(※注7)ので、その過程で膨大な時間を要したものの、これはこれで一定の成果が得られる作業でありました。

 ※注7:この際、念のために各サイトの個人ページログインパスワードも個別に異なったものに変更する作業もあわせて行っています。

まぁ、そうしたクレジットカード情報が登録されたままになっていたサイトを一律に疑うわけではありませんが、今後はいかに便利であってもカード番号を登録したままにするのは避けた方が賢明であるように思いました。

また、「疑わしい」候補に残ってしまったサイトでのクレジットカード利用については、今まで以上の慎重さが要求されることになります。可能であれば、また代替手段が得られるのであれば、それらのサイトの利用は避けるべきなのでしょう。

自分のコンピュータから漏洩した可能性を調べる

McAfee Securitty Scan Plusセキュリティスキャンツールの一例。無償提供されているアプリにバンドルされていることが多く、利用者も多い。なお、「このスキャンには2分ほどかかります」とあるが、筆者のメインマシンで行ったところ、システムドライブをSSDにしていたおかげか、1分もかからずに全工程を完了した。もっとも、これはシステム周りのチェックが主体で、全ファイルのスキャンをおこなうようなものではないため、そうした用途では利用できない

McAfee Securitty Scan Plus
セキュリティスキャンツールの一例。無償提供されているアプリにバンドルされていることが多く、利用者も多い。なお、「このスキャンには2分ほどかかります」とあるが、筆者のメインマシンで行ったところ、システムドライブをSSDにしていたおかげか、1分もかからずに全工程を完了した。もっとも、これはシステム周りのチェックが主体で、全ファイルのスキャンをおこなうようなものではないため、そうした用途では利用できない

さて、これまで取引相手となる販売サイトばかり疑ってきましたが、昨今の情勢では普通にWebブラウジングを行っていても広告に仕込まれたウィルス等に知らない間に感染させられて、キーロガー等によって入力した暗証番号などを盗まれて犯罪者に知られてしまうことがままあり得るような状況となってきています。

そこで、少々時間がかかるのを承知で、筆者の常用しているメインマシン(Hewlett Packard Z800)とノートパソコン(Lenovo ThinkPad X240)、それに部屋で24時間運転中のサブマシン(Hewlett Packard Z600)の3台のマシンの全ディスク領域に対して複数のセキュリティスキャンツールによるスキャンを行って、これらのマシンがウィルスなどに感染していたかどうかを(本当に念のためにですが)確認することにしました(※注8)。

 ※注8:なお、この作業は恐ろしく時間がかかるため、今回の件だけでは無く、一般的なウィルス対策としての意味合いも込めて行っています。

実のところ、筆者のメインマシンはシステム用のSSD 1台と作業用の高速ハードディスク2台、それにデータ保管用のハードディスク4台の合計7台で24TBほど、サブマシンでもシステム用のハードディスクが1台とデータ保存用ハードディスク3台の計4台で9TBほど、ノートパソコンでも1台のSSHDで700GBほどの容量があって、同時に行えば少なくとも一番総容量の大きなメインマシンの作業時間内には終わると期待できるものの、またどのマシンのどのドライブのある程度以上の空き領域はあるのでその分だけ短縮されるとはいうものの、それでも相当な作業時間がかかることには変わりがありません。

特に、そのメインマシンのデータ保管用HDDには(ディスク容量節約やその反対に重要なデータの保存上の冗長性確保などを目的として)圧縮ファイルにアーカイブした状態で保管しているファイルも多く、仕事の作業ファイルやメールデータをはじめとして毎日のように新ファイルが増え続けていますから、それらを全て精密にスキャンするとなると、正直一体どのくらい時間がかかるのか作業開始直前の筆者には想像もできませんでした。

普段であればこんな恐ろしく時間のかかる作業は(その間の電気料金の増加も考慮すると)できればやりたくない/一番軽いタイプのスキャンで済ませておきたいのですが、今回は事が事なので手を抜くわけには行きません。

仮に全ファイルに対するフルスキャンを完了して何も出なくとも、スキャンの時点でセキュリティスキャンツールのパターンファイルに登録されていなかった新種のウィルスが潜伏している可能性も否定できないのですが、この種の作業を(必ずパターンファイルの最新版への更新を行った上で)定期的に行っておけば、その可能性の極小化が期待できます。

そのため、ウィルス感染対策として、今後もこうした作業を必ず定期的に行わねばならないのですが、そうは言ってもやはり法外な時間と電気代がかかるのは間違いありません。

ある程度は昼間の仕事中の作業のバックグラウンドで行えるにしても、メインとサブは折角それなり以上の容量のメインメモリとクアッドコアXeon ×2を搭載したマシン(※注)なのですから、もう少し効率よく高速でスキャンするためのうまい手は無いものかと考えてしまいます。

 ※注9:メインマシンはCPUがXeon X5672 ×2搭載でメモリ96GB、サブマシンはXeon E5620 ×2搭載でメモリ24GB。前者はやたら沢山メモリを搭載していますが、これは64ビット版のフォトレタッチソフト(現行最新版のGIMPなど)で巨大データファイルを扱う際の応答性悪化対策として増強したもので、この機種(および下位のZ600)は2台のCPUに等容量のDIMMを3枚単位で搭載、つまり1回に6枚単位で搭載しないとパフォーマンスが十分出ないために泣く泣くここまで増強を行ったものであったりします。

まぁ、ここで「良いこと思いついた」と高速スキャンのために手抜きをした結果、見つかるはずのウィルスやワームが見過ごされてしまっては本末転倒ですから、黙って待つほかありません。

今回は念には念を入れて複数のスキャンツールやアンチウィルスソフトで検査を行ったので尚更なのですが、他の作業を行いながらとは言えこれだけでかなりの時間を要した(=その間ずっとマシンを起動し続けることを強いられた)のは流石につらいものがありました。

ちなみに、それらの検査結果はいずれもシロで、つまり(現状での検査結果に依れば、ということにはなりますが)今回のクレジットカード情報漏洩において筆者の使っている各マシンは直接関係していなかったということで良いようです。

何をせねばならないのか

さて、最終的に特定できるまで調べることが難しい漏洩元の調査や時間ばかりかかる全ディスク領域に対するウィルススキャンはひとまず置いておいて、カードの番号が変わることで何をせねばならないのかを考えねばなりません。

本当ならば何よりも先に行わねばならないのは、今回情報漏洩が起きたカードで自動引き落とし支払いの手続きを行っていた公共料金の支払い先変更です。

しかし、これはいずれの場合でも新しいカードが手元に届かねば新カード番号が当然に判りませんから、新カードが届くまで(※注10)はとりあえず保留にしておく必要があります。

 ※注10:このご時世、どこで何があるかわからないので新カード発行のための再審査に通らなかった場合の対応策も準備しておく必要があります。

なお、筆者が今回、こうした公共料金支払いの中で一番危惧していたのが、筆者の使用している携帯電話の通信通話料金および端末代金の分割払い分、つまりauに対する支払いが滞ってしまうことでした。

というのは、2014年12月にiPhone 6 Plusへ機種変更したときに端末本体の代金を2年間の分割払いにした上で割引や修理サポートなどの各種サービスの適用を行ったのですが、それらのサービスの中に、支払いが途切れるようなことがあった場合、事後のサービス適用が解除されてしまい、その後そのサービス適用を再度行えないものがあったためです。

この時点で残り期間は13ヶ月少々で、ここで解除されてしまうのは正直もったいなさすぎます。

「auお客様サポート」に用意されている支払い方法のクレジットカード払いへの変更申し込みページauユーザーで通信通話料の支払いに利用しているクレジットカードが不正利用され(そうになって)、旧カードの利用停止→新カード再発行となった場合には、新カードが届き次第真っ先にここを開いて変更の手続きを行わねばならない。

「auお客様サポート」に用意されている支払い方法のクレジットカード払いへの変更申し込みページ
auユーザーで通信通話料の支払いに利用しているクレジットカードが不正利用され(そうになって)、旧カードの利用停止→新カード再発行となった場合には、新カードが届き次第真っ先にここを開いて変更の手続きを行わねばならない。

さすがにそれでは困るので、auの総合案内サービスに電話をかけて、「クレジットカードが不正利用されて利用停止と再発行の手続きを行ったのですが、この場合新カードが届かない限り支払いに利用するクレジットカードの変更はできないと思いますし、届いて登録作業を行っても手続きが間に合わず今月末の引き落としには利用できないと思うのですが、こうした場合は届いた新カードでの登録作業以外にどのような手続きを行えばよろしいでしょうか?」などと問い合わせてみました。

これに対しては、「クレジットカードでの引き落としができなくなっていた場合、支払い用紙をお客様の住所に送付するので、それを用いて期限内に支払い手続きを行えばサービス適用解除とはならない」旨の回答でした。

つまり、最悪でクレジットカード引き落としの対象カード変更手続き(※注)がその月の直近の引き落としに間に合わなくとも、一応は救済策が用意されているのでした。

 ※注11:これ自体はauの公式サイトにある「auお客様サポート」ページからオンラインにて手続きができるようになっています。

なお、今回のauの例では手続きの時期によっては翌月分以降で新クレジットカードによる引き落としが適用開始となるようですから、最低でも1回は請求書での直接支払いを行わねばならないと考えておいた方がよさそうです。

これについては新カードで自動引き落としになるのが望ましいのは言うまでもありませんから、先にも触れたように新カードが届き次第ただちに引き落とし対象カードの変更手続きを行う必要があります。

「自分は関係ない」と言い切れない時代がやってきた

以上、今回筆者が遭遇したクレジットカードの不正利用とその後の対応について、簡単にご説明しました。

今回の筆者のケースでは、本当に不幸中の幸いなこととして、クレジットカード会社の方で異常に気づいて取引を保留としてくださったおかげで、またそもそも筆者のショッピングカード限度額が元々かなり低く設定されていて、しかもその残高が少なかったたために、実際に金銭的な被害を受ける前にカード再発行までの手続きを終えることができました。

正直、これが限度額の大きなカードで、残高も十分であったらどのようなことになっていたのか、考えただけでもぞっとします。

この種のクレジットカードの限度額・残高によるセキュリティ面での差というのは基本的にはありませんから、もしそれらが十分大きなカードで今回のような事態となっていれば、ほぼ確実に大きな被害額となっていたと推定できます。

もちろん、その場合でも今回のようにカード会社側で利用者の行動パターン検出などによって異常を検出し、取引保留として本人確認を行うケースが少なからずあるものと思いますが、それとて万全というわけでは無いでしょう。

そう考えると、クレジットカードはもしも可能であるのならば複数枚を所有し、インターネット通販などネット上での支払いに専用するカードと、実生活で買い物を行う際に用いるカードとできちんと区分して使用し、なおかつ前者についてはもしもの時の被害を局限する意味で、その限度額を実用可能な範囲で最低レベルに抑えておいた方が安全性が高いかも知れません。

まぁ、リアルの支払い手続きでも、カードを渡して見えないところで支払い手続きを行われるような店の場合、油断するとカード情報をスキミングされて抜き取られてしまう危険性があるので、いずれのやり方であれ、クレジットカードという支払い手段を用いる限りはこのようにすれば絶対安全、という方法はもはや存在しません。

今や、クレジットカードやオンラインバンキングに利用するキャッシュカードなどについて、例外なく何らかのリスクヘッジが必要とされる時代が来ているのです。

筆者自身、これまで自分がこのような被害に遭うというのは全く考えもしていなかったことだったのですが、今回このようなことが起きてしまいました。

今後は、これまで割といい加減に運用していた定期的なパスワード変更作業も含めて、否応なしに厳格に対策を講じてゆく他なさそうです。

それにしても、クレジットカードを不正利用する犯罪者を一網打尽にすることはできないものなのでしょうか。一罰百戒で捕らえた悪質犯を厳罰に処せば、少なくとも模倣犯は減らせると思うのですが。

▼参考リンク
auお客さまサポート
無料のウイルススキャン、無料のウイルス対策、アンチウイルス | McAfee Security Scan
不正使用防止への取り組み|セキュリティインフォメーション|お客様サポート|ジャックス
セキュリティインフォメーション|お客様サポート|ジャックス
インターネット上でのクレジットカード情報の管理にご注意ください!(一般社団法人日本クレジット協会:PDF)
インターネットでのカードご利用の際のご注意(JCCA 日本クレジットカード協会)
ゴルフ場におけるスキミングに関するご注意事項(JCCA 日本クレジットカード協会)
ID・パスワードの使いまわしによる不正使用被害にご注意ください(JCCA 日本クレジットカード協会)

  • sphie

    昨年から経済産業省でクレジットカード、セキュリティ対策協議会なるものが設立されてますね。
    不正利用、クレジットカード偽造は減少傾向にありますが、ネット、非対面での決済は年々増加し、クレジットカード不正利用の6割超がこの被害とか。
    年間120億円、インターネットバンキングでの不正送金被害が年間4億程度らしいから、被害の大きさがわかります。
    クレジットカードの利用の前提は、あくまで加盟店契約をした店舗側が、クレジットカードの利用者が確かに本人であることの確認をおこなうことで成立します。
    ネットの非対面でこれをおこなうとすると、相当に店舗でお金と時間が必要となりますよね。
    そこで、この本人確認の責務をクレジットカード会社側に倒す仕組み(業界ではライアビリティシフトっていうグローバルな決まりごと)が3Dセキュアです。
    店舗は、この3Dセキュアを導入することで、本人確認の責務をクレジットカード会社側に転換することができます。
    このメリットはさまざまありますが、昨今、商品を即時に届けるニーズがあり、店舗は不正かどうかのチェックをしなくても、商品を配送できる、配送して不正利用であれば、それはクレジットカード会社側に転換できるんです。
    今のクレジットカード利用者は、公共料金を初め色んなところにカード情報を登録しており、一度、カードが不正利用されると、カードの切り替えで使えなくなるほかに、カードの膨大な登録先の変更など、かなりの精神的苦痛がまってます。
    このような社会悪を発生させないためにも、3Dセキュアは導入すべきです。
    これだけ不正利用被害があると、やっぱり怖い、持ちたく無いって人が多いのもわかります。
    自分も実際被害にあって多くカードを保持するの止めましたから。
    世の中どんどん便利はけっこうなことですが、不正利用がおこらないセキュリティインフラとして整備しないと、キャッシュレス社会なんて無理でしょう。

PageTopへ