気付かないうちに被害に…「サブスク型」カード詐欺が静かに流行中

毎月少ない額を、気づかれるまで… 

年を追うごとに巧妙化するクレジットカード詐欺。カード情報を抜き取る「フィッシング詐欺」が全盛となる中、人知れず拡大している手口がある。毎月コツコツと少額の引き落しを続ける、言わば〝サブスク型〟の不正請求だ。カードの利用履歴をチェックしても、数千円程度の請求額であるだけに、うっかりスルーをしてしまう可能性がある。最新のフィッシング詐欺の動向と共に、個人ができる対策を解説していく。

クレジットカードの詐欺被害は300億円を突破し過去最高に

あまり話題にはならなかったが、今年6月、日本クレジットカード協会が発表した、2021年のクレジットカード不正利用被害の合計額は330億円(千万円単位を四捨五入。以下同)に上った。2000年の309億円を超え、過去最悪を更新したのだ。年間被害額がはっきりと増加傾向に転じたのは2017年からで、以降、2020年までは200億円台で推移していたが、2021年に前年比約80億円と急増した。さらに、2022年1－3月期はすでに前年同期を大きく上回る100億円を超えており、2022年は400億円突破の可能性が出てきている。

現在のカード被害の主流は「番号盗用」だ。なんと全体の94％を占める。番号盗用とは、番号や有効期限、セキュリティコードといった重要なカード情報が盗まれてしまうことで、情報を盗んだ側が本人になりすましてカードを使い、その分が本来のカードの持ち主に請求されることになる。

カードユーザーを〝釣って騙す〟「フィッシング詐欺」

そして、この番号盗用で最も使われているのが「フィッシング詐欺」だ。よくあるタイプは、カード会社を語る偽メールを送付→「支払いに問題が発生している」などと訴えて偽サイトのURLに誘導→偽サイトでカード情報を入力させる、といった手口である。つまり、番号盗用といっても、ユーザーが自ら進んでカード情報を流出させていることになる。フィッシングとは、そのままの「釣る」という意味で、フィッシング詐欺は、偽メールと偽サイトで「カードの持ち主を釣る」、というわけだ。

インターネットのリテラシーが高ければ、偽メールのアドレスや文面を見て、「これは怪しい」といったことが分かるが、ネットにあまり詳しくなければ誘導されてしまう可能性がある。偽サイトは、本物のサイトの画面をコピーしているので、リテラシーの高い人でも、結構、騙されてしまう。こうした事態を踏まえ、カード会社では、カードの利用額をメールで通知し、わざわざサイトにログインさせる手間を省かせるところも増えてきた。

詐欺への注意喚起のメールが実はニセモノ

しかし、フィッシング詐欺の手口はどんどん巧妙化し、通販サイトやスマホ決済業者の偽メールや、宅配業者になりすましたショートメールなどを送りつけてくるケースも増えている。宅配業者の「不在通知」を装ったショートメールなどは、注文の心当たりがある人なら、思わず画面タッチをしてしまうだろう。

また、最近筆者が思わず感心したのは、JR東日本のチケットサービスである『えきねっと』を装ったメールだ。「【重要】えきねっとアカウント制限のお知らせ」といったタイトルの偽メールで(文面は他のパターンあり)、普段、『Suica』を使っていることから、一瞬、「もしかしたら情報が流出したのかも?」と騙されそうになった。かなりイイところを突いてきている印象だ。

この類では、「××カードを装う不審なメールにご注意ください」とか、「カード情報が第三者に流出した可能性があるお客さまへ」といった、詐欺に対する注意喚起を装っているメール自体が偽メールというパターンも多い。実在する『フィッシング対策協議会』になりすまして、フィッシング詐欺に対する注意喚起をするメールがニセモノという例もあり、非常にタチが悪い。

最大の防衛策は利用明細のチェック

詐欺に遭わないために個人ができる防衛策は、まず、怪しいメールは開かないこと。もし開いてしまっても、そこに記載されている偽サイトのURLは無視をすること。どうしても気になるときは、メールの送信元とされている会社の公式サイトやアプリから、ログインをやり直すことをオススメする。おそらく、偽メールが出回っている段階で、公式サイトやアプリのトップ画面に、注意喚起のお知らせが記載されているだろう。

最も大事な防衛策は利用明細の確認だ。できれば1週間に1回、2週間に1回でも構わないので明細を確認して欲しい。最近は、スマホのアプリで簡単にチェックできるので、それほどの手間にはならないはずだ。

〝サブスク型〟カード詐欺とは？

そして、チェックの際、少しでも使途が不明なものがあれば、徹底的に確認をして欲しい。実は、数千円程度の少額の不正利用が継続的に行われる、という手口が蔓延しつつあるからだ。筆者はこれを〝サブスク型〟カード詐欺と呼んでいる。

カードの不正利用というと、ひと昔前なら、ブランド品や高級腕時計といった高額商品の購入というイメージが強い。だが、ここ数年、被害額の少額化・小口化が進んでいる。1件当たりの被害額が1万円以下というケースで、動画や音楽配信サービスの「サブスク（サブスクリプション）」料金並みの不正利用も目立ってきている。

発見しにくい〝サブスク型〟カード詐欺

詐欺をする側にとっては、一見、効率が悪そうな少額化だが、「発見されにくくなる」という大きなメリットがある。大手カード会社には、AI(人工知能)を活用した不正利用防止システムがあり、ユーザーの属性や利用履歴から判断して、疑わしい決済が行われると即座にアラートが発せられる。しかし、数千円程度の決済金額であれば、監視の網をすり抜けられる。

また、ユーザーが支払い明細をチェックしたとき、数千円程度だと正常な支払いと錯覚する可能性がある。サブスクのサービスを契約している人は多く、それが何ヵ月にもわたって続いても、気が付きにくい。

カード会社の補償の対象外になってしまうケースも 

しかも、継続的な不正利用の場合、カード会社の補償が受けられなくなる可能性がある。通常、ユーザーが不正利用を把握した段階でカード会社に連絡をすると、本人の故意または重大な過失が無ければ、カード会社に連絡した日から約60日前までさかのぼって被害の全額が補償される。だが、半年前となると、原則的な補償の対象外になってしまう。ユーザーにしてみれば、少額といえども軽視できるものではない。

詐欺の被害額の小額化については、明確な統計データを持ち合わせていないが、例えば、三井住友カードの2020年のアンケート調査では、被害総額980円というケースが報告されている。これとは別に、サイトの月額利用料として500円を5ヵ月にわたって支払っていたケースもあるという。管見の範囲でも、今年に入ってから散見されるようになった。利用明細にわずかでも不審な点があれば、その都度「何に使ったのか」を確認しよう。そのためにも、週1回はチェックしたい。

使っていないカードにも被害が発生する「クレジットマスター」という手口

「フィッシング詐欺には引っかかったことが無い」と断言できる人も、注意は怠れない。カード情報を流出させる手法として、「クレジットマスター」という手口が目立ってきた。カード番号と有効期限、セキュリティコードをランダムに組み合わせて、実在のカード情報を生成してしまうのだ。手口自体は、1990年代から知られていたが、パソコンのデータ処理が高速化したことで、容易に行えるようになったと推測される。

カード番号の規則性に基づいて、架空の番号、有効期限、セキュリティコードを作り、その無数の組み合わせを、あたかもサイバー攻撃のように、手あたり次第にショッピングサイトに入力し、実在するカードを探り当てるというものである。こうなると、1回も使ったことが無いカードであっても、不正利用されてしまう恐れがある。実際、まったく身に覚えがないのに不正利用されたというケースが出てきている。

〝攻撃〟を受けるサイト側も、存在しないカード情報が一定回数入力されると発信元にロックをかけるといった対策を講じているが、複数のサイトに分散して同時に行うことでロックを免れる手法もあり、決め手になっていない。

このクレジットマスターに対しても、利用明細の確認は有効だ。というよりも、個人ではこれしか防ぎようがないといえる。カード会社によっては、利用時にプッシュ通知をしてくれるところもあるが、早晩、このプッシュ通知のニセモノも出てくるだろう。明細の確認だけは忘れずに。