「ドコモ口座」以外も危ない!クレカ被害を回避するための防衛策

  • Facebook シェアボタン
  • Twitter シェアボタン
  • LINE シェアボタン
  • はてなブックマーク シェアボタン

クレカの不正利用は年間200億円超! 個人でできる「防衛策」とは? クレジットカードのプロ・松岡賢治氏に聞く

「ドコモ口座」を使った預金の不正引き出しが発覚して以降、連日のように、金融機関からの不正出金のニュースが報道されている。しかし、個人情報の漏洩や不正出金といった問題は、これまで報道されていなかっただけで、実は〝常態化〟している。例えば、ここ数年、クレカの不正利用は年間200億円を超えているのだ。こうした状況下、個人でもできる、被害を最小限に食い止めるための防衛策を紹介する。 

新型コロナの感染予防のため、支払いはキャッシュレスのみというお店も

不正出金ラッシュの様相

9月上旬、NTTドコモの電子決済サービス「ドコモ口座」を使った預金の不正引き出しが発覚した。当初、不正出金された金額は約1800万円とされていたが、他の銀行でも次々に確認され、被害は拡大。9月22日時点、被害額は合計2776万円と発表されている。また、この間、今度はSBI証券で顧客の口座からの不正出金が判明。こちらの被害額は9864万円と報告されている。

さらに、ドコモ口座と類似のサービスを提供しているPayPayやメルペイ、LINEPayといったスマホ決済事業者でも不正出金が見つかり、新しいところでは、ゆうちょ銀行が発行しているデビットカード・プリペイドカードでも不正出金が行われていることが分かっている。個々の手口はさまざまであるが、基本的には、いずれもサービスのセキュリティの脆弱性を突いた犯罪である点は一致している。

不正出金額が膨らむ「ドコモ口座」問題

クレカの被害総額は年間273億円!

次から次に金融機関のネットワーク上で事件が起きたことで、世間の金融システム全般の安全性に対する不安が急速に膨らんでいる。実際、多くの専門家が指摘するように、運営側のセキュリティの杜撰さが浮き彫りになってしまった。その結果、進行してきた金融のキャッシュレス化について、改めて疑念を強めている人も増えているようだ。

こうした状況を受け、不正出金などのネット犯罪から身を守るための防衛策について、あるゆるメディアで盛んに論じられている。御多分にもれず本記事もその一つではあるのだが、まず、他の論調とは別の視点を提示しておきたい。それは、不正出金などの金融ネットワーク上での犯罪は、残念ながら、常態化しているということである。

例えば、2019年のクレジットカードの不正利用被害額は273億3000万円に上っている。年間の被害額が再び200億円を超え出したのは、2017年からで、現在は3年連続、2020年も200億円を超えるペースとなっている。

一般社団法人日本クレジット協会『クレジットカード不正利用被害の発生状況』より作成

銀行口座からの不正出金についても、クレジットカードと比較すると被害額はひとケタ小さいが、2019年度は23億9300万円の被害が報告されている。

一般社団法人全国銀行協会『盗難通帳、インターネット・バンキング、盗難・偽造キャッシュカードによる預金等の不正払戻し件数・金額等に関するアンケート結果』より作成。金額は個人と法人の合計額

カード会社や銀行の補償制度は確立されている 

ここで、わざわざクレカの不正利用や預金の不正払戻しの被害額を持ち出したのは、最近発生している不正出金が大きな被害ではない、ということを主張するためではない。もちろん、世間の金融システムに対する不安を煽ることが目的でもない。被害の実態を知って、対策を立てるためだ。

今まで、こうした被害があまりクローズアップされてこなかった一因には、補償制度がしっかりしていることが挙げられる。クレカに関しては、業界の統一的な基準があり、ユーザーが不正利用を把握した段階でカード会社に連絡をし、本人の故意または重大な過失がないことが判明すれば、カード会社に連絡した日から約60日前までさかのぼって被害の全額が補償される。

銀行の不正出金に関しても、全国銀行協会が策定した補償の基準がある。クレカ同様、ユーザーの故意や過失がないことが判明すれば、銀行に連絡をした日から30日前までさかのぼって全額を補償してくれる(但し、軽度の過失が認められる場合は補償額が減額されたり、過失が重度の場合は補償されないケースがある)。上記のクレカや銀行口座の被害額は、悪意のある第三者による不正が認められたものであるため、ほぼ補償がなされているはずだ。

スマホ決済事業者の補償制度にはバラつきが

注意が必要なのは、いわゆるスマホ決済における不正利用だ。サービスの歴史が浅いことから、各社によって対応にバラつきがある。覚えているだろうか? 昨年7月、セブン&アイ・ホールディングスの『7pay(セブンペイ)』で、被害総額約5500万円の不正利用が発生した事件を。当時、7payの利用規約には補償に関する規約はなかったのだが、7payへの社会的な批判の高まりを受けて、全額を補償することになった。

実は、当時の他のスマホ決済で、利用規約に補償を明記しているところはほとんどなかった。7payの経緯を鑑み、続々と補償を明記するようになったのだ(それまでは不正利用が発覚しても、ユーザーは泣き寝入りをするケースがほとんどだった)。その後、スマホ決済事業者向けの保険が大手損保から発売され、補償制度が整備されていくことになるが、まだ業界の基準と呼べるようなものはなく、各社の対応に違いがある。

不正利用の対応にバラつきがあるスマホ決済。最悪の場合は、泣き寝入りの場合も

最大の防衛策は不正利用の早期発見

これまで述べてきたように、クレジットカードやスマホ決済の不正利用、銀行口座の不正出金にまつわる犯罪は間断なく続いている。今後、金融機関のセキュリティが向上しても、件数は減少することはあろうが、犯罪自体は無くなることはないだろう。こうした前提に立つと、まず個人が取るべき対策としては、早めに不正利用を把握するように努めることだ。

不正利用自体を個人の努力で防ぐのは困難だが、発生している不正利用の把握はそれほど難しくはない。クレカやスマホ決済なら利用履歴、預金なら口座残高を確認して、不信な支払いや出金が無いかどうかチェックすればよい。1週間に1度、週末におこなうことを習慣づけてはどうだろうか。最近は、少額の資金を何度も出金するケースも散見されるので、明細は細かくチェックしたい。

不正利用と疑われる支出があれば、すぐに金融機関に連絡をし、ルールに則って手続きをする。そうすれば、実際に不正利用されても補償を受けられる。ドコモ口座を利用した不正出金は、たまたま、ネットバンキングで利用履歴を見たり、通帳記入をした被害者が気付いたという(被害者が銀行やドコモに連絡しても、当初は冷たい対応だったらしいが)。

「フィッシングメール」対策はメールを信用しないこと

このとき、気を付けて欲しいのはチェックの方法である。クレカやスマホ決済、ネットバンキングであれば、支払いや引き落しについて、メールやスマホへのショートメッセージサービス(SMS)で通知してくれるサービスがある。以前なら、通知に従って確認をしに行けばよかったが、最近はこの通知がニセモノであるケースが増えている。慎重を期すならば、通知に記載されているリンクをクリックせずに、スマホのアプリからアクセスをし直すことをオススメする。 

最近のクレカや預金口座の不正利用の中身をもう少し詳しく見てみると、本人の氏名とともに、メールアドレスやログインに使うID、暗証番号といった個人データが使われているケースが多いことがわかる。つまり、個人情報が外部に流出し、悪意のある第三者に渡っていることになる。では、なぜ個人情報が外部に漏れるのか?

ひと昔前なら、紛失や盗難された身分証明書やカード、通帳などから、個人情報が特定されるケースが多かった。しかし、最近の手口は「フィッシングメール」が主流だ。フィッシングとは、簡単に言えば「詐欺」という意味で、釣りを意味する「fishing」から由来している(英語表記は「phishing」という造語)。この〝詐欺メール〟によって、個人情報が外部に流出するケースが圧倒的に多いという。

多様化する「フィッシング」

日本サイバー犯罪対策センター(通称「JC3」)によると、「2019年9月頃から、銀行を騙(かた)ったフィッシングメールによりフィッシングサイトへ誘導され、インターネット・バンキングのパスワード等の情報が窃取されることにより、不正送金が行われる手口による被害が急増している」ようだ。どういうことかというと、銀行を装ったメールに記載されているアドレスをクリックすると、ニセの銀行のサイトに誘導され、そのニセサイトに個人情報を入力するように仕向けられるのである。入力してしまうと、その時点で個人情報の流出が完了する。

今年5月頃からは、宅配業者の不在通知を装ったSMSが増えているという(これは心当たりのある人は多いはず)。中には、警察庁を騙るSMSもあるようで、リンクをクリックすると、認証を促すポップアップや警察庁のニセサイトが表示され、その後で銀行のフィッシングサイトへ誘導されるという。前述したように、安易に通知メールを開かないというのは、もはや常識といえそうだ。

なお、日本クレジット協会のサイトには、『フィッシング詐欺被害に遭わないための注意事項』というページがあり、非常に丁寧な解説をしている。ぜひ、参考にして欲しい。

「リスト型攻撃」には、パスワードを使いまわさないことが、依然として有効

地味な対策も有効

サイバー犯罪への個人の防衛策としては、「類推されやすい暗証番号を使わない」、「パスワードを使いまわさない」といったことが言われてきた。もはや古典的な手法だが、やっておくに越したことはない。例えば、暗証番号について、生年月日など類推されやすい数字を使用していて、金融機関から変更を求められているにもかかわらず、それを無視していると、不正利用の被害に遭ったとき、本人の過失として認定される可能性がある。 

また、JC3によると、海外からのハッキングでよくみられる「リスト型攻撃」には、パスワードを使いまわさないことが、依然として有効だというリスト型攻撃とは、悪意のある第三者が入手したIDやパスワードのリストを使って、正規の手順で不正アクセスを試みるサイバー攻撃のこと。サイトごとに違うパスワードを使っていれば、被害を最小限に食い止めることができる。

複数のパスワードの管理は面倒なので、パソコンの画面上やクラウドサービス上に、テキストファイルの状態で保存している人も多いだろう。でも、それでは流出の可能性があるので、JC3はパスワード管理ソフトの利用を推奨している。こうした地味な対策に関して、「進化するサイバー犯罪の前には無力では……」と思う人も多いだろう。しかし、まだまだ有効であることを付け加えておきたい。

■日本クレジット協会『フィッシング詐欺被害に遭わないための注意事項』はコチラ

  • 取材・文松岡賢治

    マネーライター、ファイナンシャルプランナー/証券会社のマーケットアナリストを経て、1996年に独立。ビジネス誌や経済誌を中心に金融、資産運用の記事を執筆。著書に『ロボアドバイザー投資1年目の教科書』『豊富な図解でよくわかる! キャッシュレス決済で絶対得する本 』。情報サイト「オールアバウト」クレジットカードガイド。

Photo Gallary6

Photo Selection

あなたへのおすすめ記事を写真から

関連記事