第3回：日本では「旅行シーズン前」の不正利用が増加。クレジットカード会社が教える傾向と対策

　クレジットカードは世界中のあらゆるところで利用可能な決済手段であることから、その不正利用の手口も多岐にわたります。クレジットカード情報の窃取は特定の人物を対象としたものでなく、どなたでも被害に遭う可能性があります。そして、その情報を不正利用して換金性の高い商品を入手するというケースが多く、それらは季節や国によってある程度の傾向が見られます。

　そこで今回は、クレジットカードの不正利用が増える時期や、狙われやすい商品、そしてこれらの犯罪を防ぐための対策を解説します。

■ 「コロナ禍明け」により旅行関連での不正利用も急増の兆し

　世界全体で見ると、カードの不正利用被害が特に多い時期／少ない時期といった波は見られません。ところが、日本だけに絞って見ると、カードの不正使用が明らかに増加する時期があります。それがゴールデンウイークを前にした3月から4月、そして年末に向けた10月から11月の旅行需要が活性化するタイミングです。この時期は、転売を目的とした国内旅行やテーマパークのチケットなどの不正利用が増加します。日本の需要の移り変わりを理解している計画的で組織的な犯行と言えるでしょう。

　コロナ禍で一時はこうした不正利用は減少していましたが、再び旅行関連の商品を狙った被害が増加しつつあります。また、旅行に関連する犯罪の増加は、インバウンド需要の高まりも影響していると言えるかもしれません。

　クレジットカードの不正利用の主な目的は、不正に入手した商品の転売による利益の獲得です。そのため、「転売のしやすさ」という観点から、狙われやすい商品もあります。前述した国内旅行やテーマパークのチケットの他、ゲーム機や化粧品などは通年で狙われやすい商品になっています。ひとつひとつの商品は少額なものでも、窃取したカード情報で大量に購入、転売することで、大きな不正利益につながっています。

　ほかにも、フードデリバリーで不正利用されるケースがあります。不正に入手したクレジットカード情報を利用し、公園などの公共施設に食事を届けてもらうという手口のようです。また、こうした少額利用は搾取してきたカード番号が未だ有効かどうかを確認する意図があるとも考えられています。

　フィッシング詐欺の被害を防止するには第一回目でもご紹介したように、クレジットカードの不正利用の94%以上は盗用されたカード情報を悪用しています。繰り返しになりますが、クレジットカード情報を窃取する手段として多いのは、やはりフィッシング詐欺です。

　急増しているフィッシング詐欺の入り口は、メールやSMSで届くフィッシングメール (偽メール)です。下図のようなSMSを受信した経験をお持ちの方も多いのではないでしょうか。こうしたメールのURLをクリックするとフィッシングサイトに誘導され、個人情報を騙し盗られたり、マルウェアに感染させられフィッシングメールの拡散を助長させられたりする事すらあります。

　最近では実際にクレジットカード会社やECサイトから送られてくるメールを参考に、本物そっくりに偽装したメールが増えています。メールを受信したら、その内容だけでなく送信元のドメインまで確認するよう普段から心掛けることが大切です。さらに、メールやSMSの中に記載されているURLを確認せずにクリックすることも危険です。特に本来のURLではなく、短縮URLを使っている場合は偽装メールの可能性が高いため、クリックする際には十分注意してください。疑わしいと思われるメールを受け取ってしまった際にはURLなどを開かずに削除するか、報告窓口を用意しているカード会社もあるので、そちらに連絡するなどもできます。

　また、フィッシング詐欺以外にも、①セキュリティ警告を偽装した画面を表示する、②公式サイトを偽装したサイトに誘導する、さらに酷い場合には③公式サイトがハッキングされて改ざんされる、といった手段でマルウェアを送り込み、個人情報やクレジットカード情報を窃取するという手口も報告されています。日頃から十分に気を付けていても、ユーザーの目で確認できることには限界があります。セキュリティ対策ソフトウェアを導入する、またはOS、ウェブブラウザーをはじめとする各種アプリケーションのバージョンを最新に保つなど、テクノロジーの力を借りながら「常に狙われている」ことを意識した対策を心がけることが大切です。

■ クレジットカード会社や加盟店における対策

　もちろん、クレジットカード会社側でもこの状況を黙って見ているわけではありません。第二回でもご紹介しました通り、クレジットカード情報を知っているだけでは不正利用できない、ユーザー本人だけが認証を通過できる仕組みとして、3Dセキュアの導入を推進しています。

　また、加盟店からクレジットカード情報が漏洩することを防止するため、「クレジットカード情報の非保持化」や「PCI DSS準拠」の取り組みも進んでいます。

　「クレジットカード情報の非保持化」とは、加盟店が保有する機器やネットワークにクレジットカード情報を「保存」「処理」「通過」しない状態を意味しています。ECサイトなどの加盟店側にクレジットカード情報が存在しなければ、攻撃者も情報を窃取することはできません。

　また、「PCI DSS」とは加盟店やペイメントサービスプロバイダが、クレジットカード情報を安全に取り扱うためのセキュリティ規格です。つまり、加盟店は「クレジットカード情報を非保持化するか、保持するのであれば「PCI DSS」に準拠しなければならないということになります。

　「クレジットカード・セキュリティガイドライン5.0版」にも記載があるとおり、業界全体でも加盟店のセキュリティ対策に重点が置かれています。例えば、クレジットカード会社が新たにEC加盟店と契約を締結する際には、加盟店側が導入するべき基本的な対策について、ガイドライン内のセキュリティチェックリストで対応状況の申告を受けたうえで、取引を開始することが求められています。

■ スコアリングによる全件モニタリングの重要性

　アメリカン・エキスプレスをはじめとするクレジットカード会社では、365日24時間体制でトランザクション（カード取引）を モニタリング（監視） して不審なカード取引の早期発見に努めています。検知の仕組みはカード会社によってさまざまですが、私たちアメリカン・エキスプレスの場合は、モニタリングにAIを活用して、全ての取引をスコアリングすることで精度を向上させています。

　モニタリングには「ルールベース」と「スコアリング」という2種類の方式があります。ルールベースは人間が設定したルールに沿って判断する方式であるのに対し、スコアリングはさまざまな情報を組み合わせて得られるスコアを元にして判定するため、より柔軟で精度の高いモニタリングが可能になっています。

　アメリカン・エキスプレスでは、加盟店データ、取引データ、外部取得データ、会員データなどを一元的に活用し、システムに学習させながらすべてのトランザクションをモニタリングしています。例えば、「その加盟店業種での不正報告履歴」「直近の無効カード番号による取引履歴」「従来の利用実績と今回の利用金額・頻度の比較」など、100件以上のさまざまな要素をスコアリングの条件に組み入れて、不審なトランザクションを検出します。

　不正利用が懸念される場合は、メールやSMSなどでユーザーに直接連絡し、そのカード利用に問題がないことを確認するといった措置が取られます。また現在日本でEMV３Dセキュアによるリスクベース判定の導入が進められていますが、アメリカン・エキスプレス SafeKeyにおいては、2000年台初頭の日本導入当初からリスクベース判定（安全性が高いと判定された場合にはワンタイムパスワードを省略する）をいち早く実装し、安全なカード取引をサポートしています。

　このようなモニタリングにより、万が一カードが不正利用されても、それを発見し、支払いが行われる前にユーザーに確認をしたり、取引を停止したりできるようになっています。また、不正利用に関する補償制度があるカードでは、不正利用による支払いが確認された場合、その金額が補償されるようにもなっています。

　とはいえ、カード情報の流出が起きないことが、もちろん最良です。ユーザーの皆さんには、万が一の場合に対応できる仕組みがあることを知ってご安心いただいた上で、フィッシング詐欺などには十分に注意しつつカードをご利用いただければと思います。