8桁の数字を覚え、客のクレジットカードを使い込む…レジ係の高校生バイトが手を染めた"クレカ詐欺"の手口

クレジットカードの不正利用が急増している。昨年の被害総額は過去最悪の540億円だった。ITジャーナリストの三上洋さんの著書『深掘り！ IT時事ニュース　読み方・基本が面白いほどよくわかる本』(技術評論社)から、カード情報を盗み取られた手口を紹介しよう――。

■クレジットカードの不正利用被害が急増

　クレジットカードを勝手に第三者に使われる不正利用は、クレジットカード誕生の頃からある古い犯罪です。クレジットカード会社は、安全性の高いICカードの普及など様々な対策を取っており、一時期は不正利用被害額が大きく減りました。

　しかし近年になってクレジットカード不正利用が急増しています。図表1は、約20年間のクレジットカード不正利用被害額のグラフです(日本国内)。

　インターネットの普及と共に2003年頃まで増えていた不正利用ですが、対策によって大きく減少し2010年代前半には年間で80億円を切っていました。しかしその後、犯罪グループ側の組織的犯行により再び被害額は増えています。

　特にコロナ禍でネット利用が大幅に増えたことから、不正利用被害も増えています。ネットに不慣れな層を狙った詐欺が横行したためです。2023年は史上最悪の約540億円の被害となりました。毎日1億4000万円以上の被害が出ている計算です。

　では犯罪者はどうやってクレジットカード番号などを盗み取っているのでしょうか。番号詐取の手口をまとめたのが図表2です。

■カード暗号の暗記などの原始的な手法も

　まず「フィッシング詐欺」「偽ECサイト」は、私たちを騙してクレジットカード番号等を偽サイトに入力させる手口です。もっとも被害が大きい手口と言えるでしょう。後述しますが、偽サイトへの誘導を巧妙に行っています。

　「不正アクセス」と「ウェブスキミング」は、販売サイト(ECサイト)へのサイバー攻撃でクレカ番号を入手する手口です。対策によって「不正アクセス(保存されているリストの入手)」は減っていますが、その反面ウェブスキミングが増加しています(後述)。

　私たちユーザーが対策できない手口もあります。「クレジットマスター」と呼ばれるもので、犯罪者が自動生成によってクレカ番号を作って不正利用するものです。

　古くからあるクレカ番号入手の手口としては、「盗難・紛失」や「スキミング」があります。盗難では海外の観光地などにいるスリ・強盗グループによるものが目立ちます。これらの犯罪者は組織化されており、盗まれた直後に高額な決済をされてしまう場合もあります。

　「スキミング」はカードリーダーなどを悪用して、ショップやレストランの店員が悪用するものですが、カード会社による対策(ICカード化など)により減少してきました。しかしカード自体を見て暗記する・写真を撮るなどの原始的な手口での悪用もあります。

■レジバイト中にお客のカード情報を盗んだ高校生

　原始的な手口である「カード番号の暗記」の事件としては、2020年に高校生が航空券を不正に購入した事件があります。70代の女性のカード情報を使い、航空券の予約サイトで14万円相当のチケットを購入して逮捕されました。余罪は他にもあり、被害総額は1000万円以上になると報道されています。

　手口は単純で「カード情報の盗み見」でした。この高校生はスーパーでレジ係のアルバイトをしており、クレジットカード番号を暗記したと供述しています。

　クレジットカード番号は16桁で暗記するには難しいと思う人もいるかしれません。しかし実際には16桁をすべて覚える必要はありません。まずクレカ番号の最初の4桁は、クレジットカード会社を表しています。つまりブランド名やカードの色などを覚えておけばいいのです。さらにクレジットカードの売上票には末尾4桁などが記載されることが多くなっています。この売上票を渡さずに手元に残していた可能性があります。

　これがうまくいけば残りは8桁であり、簡単に記憶できたでしょう。有効期限は5年以内の西暦と月ですから覚えることは難しくないはず。暗証番号が問題ですが、こちらは手元を見ていた可能性があります。

　この高校生はもうひとつ巧妙な手段を使っています。不正利用する際にオンライン決済、およびアプリ決済を利用していました。クレジットカードをキャッシュレス決済かスマホ決済に登録して使っていたのでしょう。スマホ決済では実カードを持っていなくても、タクシーや店頭などで簡単に決済できるため利用したと考えられます。